Cloud Data Loss Prevention (Cloud DLP) ora fa parte di Sensitive Data Protection. Il nome dell'API rimane invariato: API Cloud Data Loss Prevention (API DLP). Per informazioni sui servizi che compongono Sensitive Data Protection, consulta la panoramica di Sensitive Data Protection.

Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire le connessioni per l'utilizzo con il rilevamento

Questa pagina descrive come utilizzare le connessioni create da Sensitive Data Protection quando configuri il rilevamento per Cloud SQL.

Recupera l'ID agente di servizio

Per eseguire le procedure in questa pagina, devi disporre dell'ID dell'agente di servizio associato alla configurazione della scansione. Per ottenere l'ID agente di servizio:

Vai all'elenco delle configurazioni di scansione del rilevamento.

Vai alle configurazioni di scansione di rilevamento
Seleziona la configurazione della scansione.
Nella pagina dei dettagli che si apre, copia l'ID agente di servizio. Questo ID è nel formato di un indirizzo email.

Concedi i ruoli IAM richiesti all'agente di servizio

Assicurati che l'agente di servizio associato alla configurazione della scansione abbia il ruolo di driver richiesto:
- Se l'ambito dell'operazione di rilevamento è l'intera organizzazione o una cartella, assicurati che l'agente di servizio disponga del ruolo Driver per i profili di dati dell'organizzazione DLP (roles/dlp.orgdriver).
- Se l'ambito dell'operazione di rilevamento è un singolo progetto, assicurati che l'agente di servizio disponga del ruolo DLP Project Data Profiles Driver (roles/dlp.projectdriver).
Concedi all'agente di servizio il ruolo Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).

Per recuperare l'ID agente di servizio, consulta la sezione Ottenere l'ID agente di servizio in questa pagina.

Per ulteriori informazioni, vedi Assegnare i ruoli agli agenti di servizio nella documentazione di Identity and Access Management.

Crea un utente per ogni istanza Cloud SQL

Per ogni istanza che rientra nell'ambito della scoperta, crea un account utente che abbia i privilegi necessari per creare il profilo dei tuoi dati.

Puoi utilizzare un account utente esistente, ma devi assicurarti che questo account disponga dei privilegi elencati in questa sezione.

Creare un utente per un'istanza Cloud SQL per MySQL

Questa sezione descrive come creare un account utente MySQL da utilizzare con la definizione del profilo dei dati. Che tu crei un account utente o ne riutilizzi uno esistente, l'account deve avere il plug-in di autenticazione mysql_native_password. Questa sezione include informazioni su come modificare un account utente del database esistente per utilizzare questo plug-in di autenticazione.

Connettiti all'istanza.
Prepara l'account utente del database.
- Se vuoi creare un utente del database, al prompt mysql esegui il seguente comando:
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Sostituisci quanto segue:
  - USERNAME: il nome utente dell'account utente
  - PASSWORD: la password dell'account utente
  Per ulteriori informazioni, consulta Comando CREATE USER nella documentazione di MySQL.
- Se vuoi utilizzare un account utente del database esistente che non utilizza il plug-in di autenticazione mysql_native_password, utilizza il comando ALTER USER per modificare il plug-in di autenticazione dell'account:
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Per ulteriori informazioni, consulta l'istruzione ALTER USER nella documentazione di MySQL.
Concedi all'utente i privilegi SELECT e SHOW VIEW.
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
L'output è simile al seguente:
```
Query OK, 0 rows affected (0.00 sec)
```
Per ulteriori informazioni, consulta l'istruzione GRANT nella documentazione di MySQL.
(Facoltativo) Se vuoi che performance_schema.log_status venga profilato, concedi all'utente il privilegio BACKUP_ADMIN. Per saperne di più, consulta Schema delle prestazioni di MySQL nella documentazione di MySQL.
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
In Secret Manager, crea un secret per archiviare la password. Crea il segreto nel progetto che contiene l'istanza Cloud SQL.

Annota il nome della risorsa del secret.

Creare un utente per un'istanza Cloud SQL per PostgreSQL

Per le istanze Cloud SQL per PostgreSQL, Sensitive Data Protection supporta due tipi di account utente:

Un account utente integrato creato tramite PostgreSQL.
Un'entità IAM, nello specifico l'agente di servizio associato alla configurazione della scansione.

Opzione 1: crea un account utente integrato in PostgreSQL

Questa sezione descrive come creare un account utente integrato tramite PostgreSQL.

Connettiti all'istanza.
Al prompt postgres, esegui il seguente comando per creare l'utente:
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
Sostituisci quanto segue:
- USERNAME: il nome utente dell'account utente
- PASSWORD: la password dell'account utente
L'output è simile al seguente:
```
CREATE ROLE
```
Per ulteriori informazioni, consulta CREATE USER nella documentazione di PostgreSQL.
Concedi all'utente il ruolo pg_read_all_data:
```
GRANT pg_read_all_data TO USERNAME;
```
L'output è simile al seguente:
```
GRANT ROLE
```
Per ulteriori informazioni, consulta GRANT nella documentazione di PostgreSQL.
In Secret Manager, crea un secret per archiviare la password. Crea il segreto nel progetto che contiene l'istanza Cloud SQL.

Annota il nome della risorsa del secret.

Opzione 2: aggiungi l'agente di servizio come utente nell'istanza (solo PostgreSQL)

Segui questi passaggi solo se stai configurando un'istanza Cloud SQL per PostgreSQL.

Segui le istruzioni per aggiungere un account di servizio IAM a un database nella documentazione di Cloud SQL per PostgreSQL.

L'account di servizio fornito deve essere l'agente di servizio associato alla configurazione della ricerca. Per ottenere l'ID agente di servizio, consulta la sezione Ottenere l'ID agente di servizio in questa pagina.
In PostgreSQL, concedi il ruolo pg_read_all_data all'agente di servizio:
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
Sostituisci TRUNCATED_SERVICE_AGENT_ID con l'ID agente di servizio senza il suffisso .gserviceaccount.com, ad esempio service-1234567890@dlp-api.iam.

L'output è simile al seguente:
```
GRANT ROLE
```

Fornire l'accesso alle istanze Cloud SQL

Dopo aver creato la configurazione di scansione, la protezione dei dati sensibili crea automaticamente connessioni di servizio predefinite per ogni istanza nell'ambito del rilevamento. Prima di poter iniziare il profiling, devi modificare ogni connessione al servizio per fornire le credenziali per ogni istanza Cloud SQL.

Per aggiornare una connessione:

Nella console Google Cloud, vai alla pagina Connessioni di servizio.

Vai a Connessioni di servizio

Le tue connessioni vengono visualizzate in un elenco.
Per la connessione che vuoi aggiornare, fai clic su Azioni > Modifica connessione.
Esegui una di queste operazioni:
- Fornire le credenziali dell'account utente
- Utilizzare l'agente di servizio come account utente (supportato solo per le istanze Cloud SQL per PostgreSQL)

Dopo aver aggiornato una connessione, la funzionalità Protezione dei dati sensibili tenta di connettersi all'istanza con le credenziali che hai fornito. Se si verifica un errore con una connessione, Sensitive Data Protection tenta automaticamente di nuovo di connettersi all'istanza. Per ulteriori informazioni, vedi Visualizzare gli errori di connessione in questa pagina.

Fornisci le credenziali dell'account utente

Inserisci il nome utente e la risorsa Secret Manager contenente la password. La risorsa Secret Manager deve avere il seguente formato:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Sostituisci quanto segue:

PROJECT_NUMBER: l'ID numerico del progetto.
SECRET_NAME: il nome del secret che contiene la password.
VERSION_NUMBER: il numero di versione del secret. Per fornire la versione più recente, utilizza latest.

Utilizzare l'agente di servizio come account utente

Questa opzione è disponibile solo per le istanze Cloud SQL per PostgreSQL.

Per utilizzare l'agente di servizio come account utente, seleziona Autenticazione IAM dei database Cloud SQL.

Aggiornare il numero massimo di connessioni simultanee a un'istanza

Per impostazione predefinita, Sensitive Data Protection utilizza un massimo di due connessioni contemporaneamente per ridurre al minimo l'impatto della rilevazione sulle istanze Cloud SQL. Ti consigliamo di aumentare questo numero a un valore appropriato in base alle dimensioni e all'utilizzo dell'istanza.

Per ulteriori informazioni, consulta Connessioni conturrenti massime nella documentazione di Cloud SQL.

Per modificare il limite massimo di connessioni per il servizio di discovery:

Nella console Google Cloud, vai alla pagina Connessioni di servizio.

Vai a Connessioni di servizio

Le tue connessioni vengono visualizzate in un elenco.
Per la connessione che vuoi aggiornare, fai clic su Azioni > Modifica connessione.
Nel campo Numero massimo di connessioni, inserisci il nuovo limite.
Fai clic su Fine.

Visualizzare gli errori di connessione

Nella console Google Cloud, vai alla pagina Connessioni di servizio.

Vai a Connessioni di servizio

Le tue connessioni sono elencate. Se una connessione presenta un errore, viene visualizzata con un'icona di errore.
Per la connessione con un errore, fai clic su Azioni > Visualizza errori. Vengono elencati i messaggi di errore associati. Ogni messaggio include il nome della configurazione di scansione che ha richiesto la connessione.
Risolvi l'errore in base alle necessità. A seconda dell'errore, la risoluzione può coinvolgere una delle seguenti operazioni:
- Modifica delle credenziali fornite.
- Aggiornamento della password archiviata in Secret Manager.
- Accedi al database e concedi all'utente del database i privilegi richiesti.
- Assegna il ruolo IAM specificato all'agente di servizio associato alla configurazione di scansione specificata.

Sensitive Data Protection tenta automaticamente di connettersi all'istanza. Se un tentativo di ricollegamento va a buon fine, i messaggi di errore vengono cancellati.

Consenti il rilevamento per le istanze senza indirizzo IP pubblico

Per eseguire il rilevamento su un'istanza Cloud SQL senza indirizzo IP pubblico, selezionate l'opzione Abilita percorso privato per l'istanza. Questa opzione consente ai servizi Google Cloud di accedere ai dati di un'istanza Cloud SQL tramite una connessione IP privata.

Per ulteriori informazioni, consulta le seguenti risorse:

Cloud SQL per MySQL: configura l'IP privato per un'istanza esistente
Cloud SQL per PostgreSQL: configura l'IP privato per un'istanza esistente

Passaggi successivi

Scopri come gestire i profili dei dati.