Gérer les connexions à utiliser avec la détection

Cette page explique comment utiliser les connexions créées par la protection des données sensibles lorsque vous configurez la détection pour Cloud SQL.

Obtenir l'ID de l'agent de service

Pour effectuer les procédures décrites sur cette page, vous avez besoin de l'ID de l'agent de service associé à votre configuration d'analyse. Pour obtenir l'ID de l'agent de service, procédez comme suit:

  1. Accédez à la liste des configurations d'analyse de découverte.

    Accéder aux configurations d'analyse de découverte

  2. Sélectionnez votre configuration d'analyse.
  3. Sur la page de détails qui s'affiche, copiez l'ID de l'agent de service. Cet ID se présente sous la forme d'une adresse e-mail.

Attribuer les rôles IAM requis à votre agent de service

  1. Assurez-vous que l'agent de service associé à votre configuration d'analyse dispose du rôle de pilote requis:

    • Si le champ d'application de votre opération de découverte couvre l'ensemble de l'organisation ou un dossier, assurez-vous que l'agent de service dispose du rôle Pilote de profils de données de l'organisation DLP (roles/dlp.orgdriver).
    • Si le champ d'application de l'opération de découverte est un projet unique, assurez-vous que l'agent de service dispose du rôle Pilote de profils de données de projet DLP (roles/dlp.projectdriver).
  2. Attribuez à l'agent de service le rôle d'accesseur de secrets Secret Manager (roles/secretmanager.secretAccessor).

Pour obtenir votre ID d'agent de service, consultez la section Obtenir l'ID d'agent de service sur cette page.

Pour en savoir plus, consultez la section Attribuer des rôles aux agents de service dans la documentation Identity and Access Management.

Créer un utilisateur pour chaque instance Cloud SQL

Pour chaque instance concernée par la découverte, créez un compte utilisateur disposant des droits requis pour profiler vos données.

Vous pouvez utiliser un compte utilisateur existant, mais vous devez vous assurer que ce compte dispose des droits répertoriés dans cette section.

Créer un utilisateur pour une instance Cloud SQL pour MySQL

Cette section explique comment créer un compte utilisateur MySQL à utiliser avec le profilage des données. Que vous créiez un compte utilisateur ou réutilisiez un compte existant, le compte doit disposer du plug-in d'authentification mysql_native_password. Cette section explique comment modifier un compte utilisateur de base de données existant pour utiliser ce plug-in d'authentification.

  1. Connectez-vous à l'instance.
  2. Préparez le compte utilisateur de la base de données.

    • Si vous souhaitez créer un utilisateur de base de données, exécutez la commande suivante lorsque l'invite mysql s'affiche:

      CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
      

      Remplacez les éléments suivants :

      • USERNAME: nom d'utilisateur du compte utilisateur
      • PASSWORD: mot de passe du compte utilisateur.

      Pour en savoir plus, consultez la section CREATE USER Statement dans la documentation MySQL.

    • Si vous souhaitez utiliser un compte utilisateur de base de données existant qui n'utilise pas le plug-in d'authentification mysql_native_password, exécutez la commande ALTER USER pour modifier le plug-in d'authentification de ce compte:

      ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
      

      Pour en savoir plus, consultez la section ALTER USER Statement dans la documentation MySQL.

  3. Accordez les droits SELECT et SHOW VIEW à l'utilisateur.

    GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
    

    Le résultat ressemble à ce qui suit :

    Query OK, 0 rows affected (0.00 sec)

    Pour en savoir plus, consultez la section GRANT Statement (Instruction GRANT) dans la documentation MySQL.

  4. Facultatif: Si vous souhaitez que performance_schema.log_status soit profilé, accordez le droit BACKUP_ADMIN à l'utilisateur. Pour en savoir plus, consultez la page MySQL Performance Schema dans la documentation MySQL.

    GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
    
  5. Dans Secret Manager, créez un secret pour stocker le mot de passe. Créez le secret dans le projet contenant l'instance Cloud SQL.

    Notez le nom de ressource du secret.

Créer un utilisateur pour une instance Cloud SQL pour PostgreSQL

Pour les instances Cloud SQL pour PostgreSQL, Sensitive Data Protection accepte deux types de comptes utilisateur:

  • Un compte utilisateur intégré créé via PostgreSQL.
  • Un compte principal IAM, plus précisément l'agent de service associé à votre configuration d'analyse.

Option 1: Créer un compte utilisateur intégré dans PostgreSQL

Cette section explique comment créer un compte utilisateur intégré via PostgreSQL.

  1. Connectez-vous à l'instance.
  2. Lorsque l'invite postgres s'affiche, exécutez la commande suivante pour créer l'utilisateur:

    CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
    

    Remplacez les éléments suivants :

    • USERNAME: nom d'utilisateur du compte utilisateur
    • PASSWORD: mot de passe du compte utilisateur.

    Le résultat ressemble à ce qui suit :

    CREATE ROLE

    Pour en savoir plus, consultez la section CRÉER UN UTILISATEUR dans la documentation PostgreSQL.

  3. Accordez le rôle pg_read_all_data à l'utilisateur :

    GRANT pg_read_all_data TO USERNAME;
    

    Le résultat ressemble à ce qui suit :

    GRANT ROLE

    Pour en savoir plus, consultez la section GRANT dans la documentation PostgreSQL.

  4. Dans Secret Manager, créez un secret pour stocker le mot de passe.

    • Si le champ d'application de votre opération de découverte couvre l'ensemble de l'organisation ou un dossier, créez le secret dans le projet contenant l'instance Cloud SQL.
    • Si le champ d'application de votre opération de découverte est un projet unique, créez le secret dans ce projet.

    Notez le nom de ressource du secret.

Option 2: Ajoutez l'agent de service en tant qu'utilisateur dans l'instance (PostgreSQL uniquement)

Ne suivez ces étapes que si vous configurez une instance Cloud SQL pour PostgreSQL.

  1. Suivez les instructions permettant d'ajouter un compte de service IAM à une base de données dans la documentation Cloud SQL pour PostgreSQL.

    Le compte de service que vous fournissez doit être l'agent de service associé à la configuration d'analyse. Pour obtenir l'ID de l'agent de service, consultez la section Obtenir l'ID de l'agent de service sur cette page.

  2. Dans PostgreSQL, attribuez le rôle pg_read_all_data à l'agent de service:

    GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
    

    Remplacez TRUNCATED_SERVICE_AGENT_ID par l'ID de l'agent de service sans le suffixe .gserviceaccount.com (par exemple, service-1234567890@dlp-api.iam).

    Le résultat ressemble à ce qui suit :

    GRANT ROLE

Donner accès à vos instances Cloud SQL

Une fois la configuration d'analyse créée, la protection des données sensibles crée automatiquement des connexions de service par défaut pour chaque instance concernée par la découverte. Avant de pouvoir démarrer le profilage, vous devez modifier chaque connexion de service afin de fournir les identifiants de chaque instance Cloud SQL.

Pour mettre à jour une connexion, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Connexions au service.

    Accéder à Service Connections

    Vos connexions sont affichées sous forme de liste.

  2. Pour la connexion que vous souhaitez mettre à jour, cliquez sur Actions > Gérer les identifiants.

  3. Dans le volet qui s'affiche, effectuez l'une des opérations suivantes:

Fournir les identifiants du compte utilisateur

Saisissez le nom d'utilisateur et la ressource Secret Manager contenant le mot de passe. La ressource Secret Manager doit être au format suivant:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Remplacez les éléments suivants :

  • PROJECT_NUMBER: ID numérique de votre projet.
  • SECRET_NAME: nom du secret contenant le mot de passe.
  • VERSION_NUMBER: numéro de version du secret. Pour fournir la dernière version, utilisez latest.

Utiliser l'agent de service en tant que compte utilisateur

Cette option n'est disponible que pour les instances Cloud SQL pour PostgreSQL.

Pour utiliser l'agent de service en tant que compte utilisateur, sélectionnez Authentification IAM pour les bases de données Cloud SQL.

Mettre à jour le nombre maximal de connexions simultanées à une instance

Par défaut, la protection des données sensibles utilise un maximum de deux connexions simultanées pour minimiser l'impact de la détection sur vos instances Cloud SQL. Nous vous recommandons d'augmenter ce nombre à une valeur appropriée en fonction de la taille et de l'utilisation de l'instance.

Pour en savoir plus, consultez la section Nombre maximal de connexions simultanées dans la documentation Cloud SQL.

Pour modifier la limite de connexion maximale du service de découverte, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Connexions au service.

    Accéder à Service Connections

    Vos connexions sont affichées sous forme de liste.

  2. Pour la connexion que vous souhaitez mettre à jour, cliquez sur Actions > Gérer la limite de connexions.

  3. Dans le volet qui s'affiche, saisissez la nouvelle limite.

  4. Cliquez sur OK.

Étapes suivantes