En esta página, se muestra cómo resolver problemas con el servicio de descubrimiento de Sensitive Data Protection. Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.
El agente de servicio no tiene permiso para leer una columna controlada por acceso
Este problema ocurre cuando se genera un perfil de una tabla que aplica seguridad a nivel de la columna a través de etiquetas de políticas. Si el agente de servicio no tiene permiso para acceder a la columna restringida, la Protección de datos sensibles muestra el siguiente error:
Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.
Para resolver este problema, en la página de Identity and Access Management (IAM), otorga a tu agente de servicio el rol de Lector detallado.
Sensitive Data Protection vuelve a intentar generar perfiles de los datos que no pudo perfilar de forma periódica.
Para obtener más información sobre cómo otorgar un rol, consulta Otorga un solo rol.
El agente de servicio no tiene acceso a la creación de perfiles de datos
Este problema se produce después de que alguien de tu organización crea una configuración de análisis a nivel de la organización o la carpeta. Cuando ves los detalles de configuración del análisis, ves que el valor de Estado del análisis es Activo con errores. Cuando veas el error, la Protección de datos sensibles mostrará el siguiente mensaje de error:
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
Este error se produjo porque la Protección de datos sensibles no pudo otorgar automáticamente el rol de Controlador de perfiles de datos de la organización de DLP a tu agente de servicio mientras creaba la configuración de análisis. El creador de la configuración de análisis no tiene permisos para otorgar acceso a la generación de perfiles de datos, por lo que la Protección de datos sensibles no pudo hacerlo en su nombre.
Para resolver este problema, consulta Otorgar acceso a la creación de perfiles de datos a un agente de servicio.
La cuenta de servicio no tiene permiso para consultar una tabla
Este problema se produce cuando Sensitive Data Protection intenta generar el perfil de una tabla a la que el agente de servicio no tiene permiso para consultar. Sensitive Data Protection muestra el siguiente error:
Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query table TABLE. Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query TABLE. [TIMESTAMP]
Para resolver el problema, sigue estos pasos:
Confirma que la tabla siga existiendo. Si la tabla existe, sigue los pasos que se indican a continuación.
Activa Cloud Shell.
Si se te solicita que autorices Cloud Shell, haz clic en Autorizar.
Como alternativa, si quieres usar la herramienta de línea de comandos de
bq
desde Google Cloud CLI, instala y, luego, inicializa Google Cloud CLI.Obtén la política de IAM actual de la tabla y presiónala en
stdout
:bq get-iam-policy TABLE
Reemplaza TABLE por el nombre de recurso completo de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo,
project-id:dataset-id.table-id
.Otorga el rol de agente de servicios de la API de DLP (
roles/dlp.serviceAgent
) al agente de servicio:bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \ --role=roles/dlp.serviceAgent TABLE
Reemplaza lo siguiente:
- SERVICE_AGENT_ID: Es el ID del agente de servicio que necesita consultar
la tabla, por ejemplo,
service-0123456789@dlp-api.iam.gserviceaccount.com
. TABLE: Es el nombre completo del recurso de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo,
project-id:dataset-id.table-id
.El resultado es similar a este:
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE': { "bindings": [ { "members": [ "serviceAccount:SERVICE_AGENT_ID" ], "role": "roles/dlp.serviceAgent" } ], "etag": "BwXNAPbVq+A=", "version": 1 }
Sensitive Data Protection vuelve a intentar generar perfiles de los datos que no pudo perfilar de forma periódica.
- SERVICE_AGENT_ID: Es el ID del agente de servicio que necesita consultar
la tabla, por ejemplo,
La cuenta de servicio no tiene permiso para publicar en un tema de Pub/Sub.
Este problema se produce cuando Sensitive Data Protection intenta publicar notificaciones en un tema de Pub/Sub en el que el agente de servicio no tiene acceso de publicación. Sensitive Data Protection muestra el siguiente error:
Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'. The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.
Para resolver este problema, otorga acceso de publicación, a nivel de un proyecto o tema, a tu agente de servicio. Un ejemplo de un rol que tiene acceso de publicación es el rol de publicador de Pub/Sub.
Si hay problemas de configuración o permisos con el tema de Pub/Sub, la Protección de datos sensibles reintentará enviar la notificación de Pub/Sub durante un máximo de dos semanas. Después de dos semanas, se descarta la notificación.
No se puede usar la plantilla de inspección para generar perfiles de datos en una región diferente
Este problema ocurre cuando Sensitive Data Protection intenta generar perfiles de datos que no residen en la misma región que la plantilla de inspección. Sensitive Data Protection muestra el siguiente error:
Data in region DATA_REGION cannot be profiled using template in region TEMPLATE_REGION. Regional template can only be used to profile data in the same region. If profiling data in multiple regions, use a global template.
En este mensaje de error, DATA_REGION es la región donde residen los datos y TEMPLATE_REGION es la región donde reside la plantilla de inspección.
Para resolver este problema, puedes copiar la plantilla específica de la región a la región global
:
En la página Detalles de la plantilla de inspección, copia el nombre completo del recurso de la plantilla. El nombre de recurso completo tiene el siguiente formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Edita la configuración de análisis y, luego, ingresa el nombre completo del recurso de la nueva plantilla de inspección.
Haz clic en Guardar.
Sensitive Data Protection vuelve a intentar generar perfiles de los datos que no pudo perfilar de forma periódica.
La Protección de datos sensibles intentó crear un perfil de una tabla no compatible
Este problema se produce cuando la Protección de datos sensibles intenta generar el perfil de una tabla que no es compatible. Para esa tabla, aún obtienes un perfil parcial que contiene los metadatos de la tabla. Sin embargo, el perfil parcial muestra el siguiente error:
Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].
Si no quieres obtener perfiles parciales y errores para tablas no compatibles, sigue estos pasos:
- Edita la configuración de análisis.
- En el paso Administrar programas, haz clic en Editar programa.
- En el panel que aparece, haz clic en la pestaña Condiciones.
- En la sección Tablas para generar perfiles, haz clic en Tablas compatibles con la generación de perfiles.
Para obtener más información, consulta Administra las programaciones.
El informe de Looker precompilado no se carga correctamente
Consulta Cómo solucionar errores con el informe precompilado.
Problemas relacionados con el etiquetado automático basado en la sensibilidad de los datos
Consulta Cómo solucionar errores en la documentación para controlar el acceso de IAM a los recursos según la sensibilidad de los datos.