Cloud Data Loss Prevention（Cloud DLP）は機密データの保護の一部になりました。API 名に変わりはありません。Cloud Data Loss Prevention API（DLP API）です。機密データの保護を構成するサービスについては、機密データの保護の概要をご覧ください。

検出サービスの問題のトラブルシューティング

このページでは、機密データの保護の検出サービスの問題を解決する方法について説明します。検出サービスの詳細については、データプロファイルをご覧ください。

サービスエージェントに、アクセス制御された列を読み取る権限がない

この問題は、ポリシータグを使用して列レベルのセキュリティを適用するテーブルをプロファイリングすると発生します。サービスエージェントが制限付きの列にアクセスする権限がない場合、機密データの保護は次のエラーを表示します。

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

この問題を解決するには、Identity and Access Management（IAM）ページで、サービスエージェントにきめ細かい読み取りのロールを付与します。

[IAM] に移動

機密データの保護は、プロファイリングに失敗したプロファイリングテーブルを定期的に再試行します。

ロールの付与の詳細については、単一のロールを付与するをご覧ください。

サービスエージェントにデータプロファイリングアクセス権がない

この問題は、組織内のユーザーが組織レベルまたはフォルダレベルのスキャン構成を作成した後に発生します。スキャン構成の詳細を表示すると、[Scan status] の値が [Active with errors] になります。エラーを表示すると、機密データの保護には次のエラーメッセージが表示されます。

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

このエラーは、スキャン構成の作成中に機密データの保護によって DLP 組織データプロファイルドライバのロールがサービスエージェントに自動的に付与できなかったために発生しました。スキャン構成の作成者にはデータプロファイリングアクセス権を付与する権限がないため、機密データの保護が代理でこれを行うことはできません。

この問題を解決するには、サービスエージェントへデータプロファイリングのアクセス権を付与するをご覧ください。

サービスアカウントに、テーブルをクエリする権限がない

この問題は、サービスエージェントがクエリする権限のないテーブルを機密データの保護がプロファイリングしようとしたときに発生します。機密データの保護には次のエラーが表示されます。

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

この問題を解決する方法は次のとおりです。

テーブルがまだ存在することを確認します。テーブルが存在する場合は、次の手順を実行します。
Cloud Shell をアクティブにする。

Cloud Shell をアクティブにする

Cloud Shell を承認するように求められたら、[承認] をクリックします。

Google Cloud CLI から bq コマンドラインツールを使用する場合は、Google Cloud CLI をインストールして初期化します。
テーブルの現在の IAM ポリシーを取得し、stdout に出力します。
```
bq get-iam-policy TABLE
```
TABLE は、BigQuery テーブルの完全なリソース名を PROJECT_ID:DATASET_ID.TABLE_ID の形式に置き換えます（例:project-id:dataset-id.table-id）。
DLP API サービスエージェント（roles/dlp.serviceAgent）のロールをサービスエージェントに付与します。
```
bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
    --role=roles/dlp.serviceAgent TABLE
```
次のように置き換えます。
- SERVICE_AGENT_ID: テーブルに対してクエリを行う必要のあるサービスエージェントの ID（例: service-0123456789@dlp-api.iam.gserviceaccount.com）。
- TABLE: BigQuery テーブルの完全なリソース名。形式は PROJECT_ID:DATASET_ID.TABLE_ID（例:project-id:dataset-id.table-id）。
  
  出力は次のようになります。
```
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':

{
 "bindings": [
   {
     "members": [
       "serviceAccount:SERVICE_AGENT_ID"
     ],
     "role": "roles/dlp.serviceAgent"
   }
 ],
 "etag": "BwXNAPbVq+A=",
 "version": 1
}
```
機密データの保護は、プロファイリングに失敗したプロファイリングテーブルを定期的に再試行します。

サービスアカウントに Pub/Sub トピックにパブリッシュする権限がありません

この問題は、サービスエージェントに公開アクセス権がない Pub/Sub トピックに機密データの保護が通知を公開しようとしたときに発生します。機密データの保護には次のエラーが表示されます。

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

この問題を解決するには、サービスエージェントにプロジェクトまたはトピックレベルで公開アクセス権を付与します。公開アクセス権を持つロールの例として、Pub/Sub パブリッシャーのロールがあります。

Pub/Sub トピックの構成または権限に問題がある場合、Sensitive Data Protection は Pub/Sub 通知の送信を最大 2 週間再試行します。2 週間が経過すると、通知は破棄されます。

検査テンプレートは、異なるリージョンのプロファイルデータには使用できません

この問題は、機密データの保護が、検査テンプレートが存在する同じリージョンに存在しないデータをプロファイリングしようとしたときに発生します。機密データの保護には次のエラーが表示されます。

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

このエラーメッセージでは、DATA_REGION はデータが存在するリージョンで、TEMPLATE_REGION は検査テンプレートが存在するリージョンです。

この問題を解決するには、リージョン固有のテンプレートを global リージョンにコピーします。

検査テンプレートを global リージョンにコピーします。
[検査テンプレートの詳細] ページで、テンプレートの完全なリソース名をコピーします。完全なリソース名の形式は次のとおりです。
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
スキャン構成を編集して、新しい検査テンプレートの完全なリソース名を入力します。
[保存] をクリックします。

機密データの保護は、プロファイリングに失敗したプロファイリングテーブルを定期的に再試行します。

機密データの保護がサポートされていないテーブルをプロファイリングしようとした

この問題は、機密データの保護がサポートされていないテーブルをプロファイリングしようとしたときに発生します。このテーブルのメタデータを含む部分的なプロファイルは引き続き取得されます。ただし、部分的なプロファイルに関する次のエラーが表示されます。

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

サポートされていないテーブルについて部分的なプロファイルとエラーを表示しない場合は、次の手順を行います。

スキャンの設定を編集します。
[スケジュールの管理] の手順で、 [スケジュールの編集] をクリックします。
表示されたペインで [条件] タブをクリックします。
[プロファイリングするテーブル] セクションで、[サポートされているテーブルをプロファイリングする] をクリックします。

詳細については、スケジュールの管理をご覧ください。

検出サービスの問題のトラブルシューティング

サービス エージェントに、アクセス制御された列を読み取る権限がない

サービス エージェントにデータ プロファイリング アクセス権がない

サービス アカウントに、テーブルをクエリする権限がない

サービス アカウントに Pub/Sub トピックにパブリッシュする権限がありません

検査テンプレートは、異なるリージョンのプロファイル データには使用できません