O Cloud Data Loss Prevention (Cloud DLP) faz agora parte da Proteção de dados confidenciais. O nome da API permanece o mesmo: Cloud Data Loss Prevention API (API DLP). Para informações sobre os serviços que compõem a proteção de dados confidenciais, consulte o artigo Vista geral da proteção de dados confidenciais.

Esta página foi traduzida pela API Cloud Translation.

Faça a gestão das associações para utilização com a descoberta

Esta página descreve como trabalhar com as ligações que a proteção de dados confidenciais cria quando configura a deteção para o Cloud SQL.

Obtenha o ID do agente do serviço

Para realizar os procedimentos nesta página, precisa do ID do agente de serviço associado à sua configuração de análise. Para obter o ID do agente do serviço, siga estes passos:

Aceda à lista de configurações de procura de deteção.

Aceda às configurações de análise de deteção
Na barra de ferramentas, selecione a sua organização.
Selecione a configuração de análise.
Na página Detalhes da configuração da análise, copie o valor do campo Agente de serviço. O ID do agente de serviço está no formato de um endereço de email.

Conceda as funções IAM necessárias ao seu agente do serviço

Certifique-se de que o agente de serviço associado à configuração de digitalização tem a função de controlador necessária:
- Se o âmbito da sua operação de deteção for toda a organização ou uma pasta, certifique-se de que o agente de serviço tem a função DLP Organization Data Profiles Driver (roles/dlp.orgdriver).
- Se o âmbito da sua operação de deteção for um único projeto, certifique-se de que o agente de serviço tem a função de controlador de perfis de dados do projeto da DLP (roles/dlp.projectdriver).
Conceda ao agente do serviço a função Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).

Para obter o ID do agente do serviço, consulte Obtenha o ID do agente do serviço nesta página.

Para mais informações, consulte o artigo Conceda funções a agentes de serviço na documentação de gestão de identidades e acessos.

Crie um utilizador para cada instância do Cloud SQL

Para cada instância no âmbito da deteção, crie uma conta de utilizador que tenha os privilégios necessários para criar perfis dos seus dados.

Pode usar uma conta de utilizador existente, mas tem de se certificar de que essa conta tem os privilégios indicados nesta secção.

Crie um utilizador para uma instância do Cloud SQL para MySQL

Esta secção descreve como criar uma conta de utilizador do MySQL para utilização com a criação de perfis de dados. Quer crie uma conta de utilizador ou reutilize uma existente, a conta tem de ter o plug-in de autenticação caching_sha2_password.

Esta secção inclui informações sobre como modificar uma conta de utilizador da base de dados existente para usar este plug-in de autenticação.

Ligue-se à sua instância.
Prepare a conta de utilizador da base de dados.
- Se quiser criar um utilizador da base de dados, na linha de comandos mysql, execute o seguinte comando:
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH caching_sha2_password BY 'PASSWORD';
```
  Substitua o seguinte:
  - USERNAME: o nome de utilizador da conta de utilizador
  - PASSWORD: a palavra-passe da conta de utilizador
  Para mais informações, consulte a declaração CREATE USER na documentação do MySQL.
- Se quiser usar uma conta de utilizador da base de dados existente que não esteja a usar o plug-in de autenticação caching_sha2_password, use o comando ALTER USER para alterar o plug-in de autenticação dessa conta:
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH caching_sha2_password BY 'PASSWORD';
```
  Para mais informações, consulte a secção ALTER USER Statement na documentação do MySQL.
Conceda os privilégios SELECT e SHOW VIEW ao utilizador.
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
O resultado é semelhante ao seguinte:
```
Query OK, 0 rows affected (0.00 sec)
```
Para mais informações, consulte a declaração GRANT na documentação do MySQL.
Opcional: se quiser que o performance_schema.log_status seja perfilado, conceda o privilégio BACKUP_ADMIN ao utilizador. Para mais informações, consulte o artigo MySQL Performance Schema na documentação do MySQL.
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
No Secret Manager, crie um segredo para armazenar a palavra-passe. Crie o segredo no projeto que contém a instância do Cloud SQL.

Tome nota do nome do recurso do segredo.

Crie um utilizador para uma instância do Cloud SQL para PostgreSQL

Para instâncias do Cloud SQL para PostgreSQL, o Sensitive Data Protection suporta dois tipos de contas de utilizador:

Uma conta de utilizador incorporada criada através do PostgreSQL.
Um principal do IAM, especificamente, o agente de serviço associado à sua configuração de análise.

Opção 1: crie uma conta de utilizador integrada no PostgreSQL

Esta secção descreve como criar uma conta de utilizador integrada através do PostgreSQL.

Ligue-se à sua instância.
Na linha de comandos postgres, execute o seguinte comando para criar o utilizador:
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
Substitua o seguinte:
- USERNAME: o nome de utilizador da conta de utilizador
- PASSWORD: a palavra-passe da conta de utilizador
O resultado é semelhante ao seguinte:
```
CREATE ROLE
```
Para mais informações, consulte CREATE USER na documentação do PostgreSQL.
Conceda a função de pg_read_all_data ao utilizador:
```
GRANT pg_read_all_data TO USERNAME;
```
O resultado é semelhante ao seguinte:
```
GRANT ROLE
```
Para mais informações, consulte o comando GRANT na documentação do PostgreSQL.
No Secret Manager, crie um segredo para armazenar a palavra-passe. Crie o segredo no projeto que contém a instância do Cloud SQL.

Tome nota do nome do recurso do segredo.

Opção 2: adicione o agente de serviço como utilizador na instância (apenas PostgreSQL)

Siga estes passos apenas se estiver a configurar uma instância do Cloud SQL para PostgreSQL.

Siga as instruções para adicionar uma conta de serviço da IAM a uma base de dados na documentação do Cloud SQL para PostgreSQL.

A conta de serviço que indicar tem de ser o agente de serviço associado à configuração da análise. Para obter o ID do agente de serviço, consulte a secção Obtenha o ID do agente de serviço nesta página.
No PostgreSQL, conceda a função pg_read_all_data ao agente do serviço:
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
Substitua TRUNCATED_SERVICE_AGENT_ID pelo ID do agente de serviço sem o sufixo .gserviceaccount.com, por exemplo, service-1234567890@dlp-api.iam.

O resultado é semelhante ao seguinte:
```
GRANT ROLE
```

Forneça acesso às suas instâncias do Cloud SQL

Depois de criar a configuração da análise, a proteção de dados confidenciais cria automaticamente associações de serviços predefinidas para cada instância no âmbito da deteção. Antes de poder iniciar a criação de perfis, tem de editar cada ligação de serviço para fornecer as credenciais de cada instância do Cloud SQL.

Para atualizar uma associação, siga estes passos:

Na Google Cloud consola, aceda à página Associações de serviços.

Aceda a Ligações de serviços

As suas associações são apresentadas numa lista.
Para a associação que quer atualizar, clique em Ações > Editar associação.
Efetue um dos seguintes passos:
- Forneça as credenciais da conta de utilizador
- Use o agente de serviço como uma conta de utilizador (suportado apenas para instâncias do Cloud SQL para PostgreSQL)

Depois de atualizar uma ligação, a proteção de dados confidenciais tenta estabelecer ligação à instância com as credenciais que forneceu. Se ocorrer um erro com uma ligação, a proteção de dados confidenciais tenta novamente estabelecer ligação à instância automaticamente. Para mais informações, consulte a secção Ver erros de ligação nesta página.

Faculte as credenciais da conta de utilizador

Introduza o nome de utilizador e o recurso do Secret Manager que contém a palavra-passe. O recurso do Secret Manager tem de estar no seguinte formato:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Substitua o seguinte:

PROJECT_NUMBER: o ID numérico do seu projeto.
SECRET_NAME: o nome do segredo que contém a palavra-passe.
VERSION_NUMBER: o número da versão do segredo; para fornecer a versão mais recente, use latest.

Use o agente de serviço como uma conta de utilizador

Esta opção só está disponível para instâncias do Cloud SQL para PostgreSQL.

Para usar o agente de serviço como a conta de utilizador, selecione Autenticação de base de dados do IAM do Cloud SQL.

Atualize o número máximo de ligações simultâneas a uma instância

Por predefinição, a proteção de dados confidenciais usa um máximo de duas ligações simultâneas para minimizar o impacto da deteção nas suas instâncias do Cloud SQL. Recomendamos que aumente este número para um valor adequado com base no tamanho e na utilização da instância.

Para mais informações, consulte o artigo Máximo de ligações simultâneas na documentação do Cloud SQL.

Para alterar o limite máximo de ligações para o serviço de deteção, faça o seguinte:

Na Google Cloud consola, aceda à página Associações de serviços.

Aceda a Ligações de serviços

As suas associações são apresentadas numa lista.
Para a associação que quer atualizar, clique em Ações > Editar associação.
No campo Número máximo de associações, introduza o novo limite.
Clique em Concluído.

Veja erros de associação

Na Google Cloud consola, aceda à página Associações de serviços.

Aceda a Ligações de serviços

As suas associações são apresentadas. Se uma associação tiver um erro, é apresentada com um ícone de erro.
Para a associação que tem um erro, clique em Ações > Ver erros. As mensagens de erro associadas são apresentadas. Cada mensagem inclui o nome da configuração de análise que pediu a ligação.
Resolva o erro conforme necessário. Consoante o erro, a resolução pode envolver qualquer uma das seguintes ações:
- Editar as credenciais que forneceu.
- Atualizar a palavra-passe armazenada no Secret Manager.
- Iniciar sessão na base de dados e conceder ao utilizador da base de dados os privilégios necessários.
- Atribuir a função IAM especificada ao agente do serviço associado à configuração de análise especificada.

A proteção de dados confidenciais tenta novamente estabelecer ligação à instância automaticamente. Se uma tentativa de nova ligação for bem-sucedida, as mensagens de erro são limpas.

Permita a deteção de instâncias sem um endereço IP público

Para executar a deteção numa instância do Cloud SQL que não tenha um endereço IP público, selecione a opção Ativar caminho privado para essa instância. Esta opção permite que os serviços acedam aos dados numa instância do Cloud SQL através de uma ligação IP privada. Google Cloud

Para mais informações, consulte o seguinte:

Cloud SQL para MySQL: configure o IP privado para uma instância existente
Cloud SQL para PostgreSQL: configure o IP privado para uma instância existente

O que se segue?

Saiba como gerir perfis de dados.