Auf dieser Seite erfahren Sie, wie Sie Probleme mit dem Erkennungsdienst von Sensitive Data Protection beheben. Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.
Der Dienst-Agent ist nicht berechtigt, eine Spalte mit Zugriffssteuerung zu lesen
Dieses Problem tritt auf, wenn Sie mithilfe von Richtlinien-Tags eine Profilerstellung für eine Tabelle durchführen, die die Sicherheit auf Spaltenebene erzwingt. Wenn der Dienst-Agent nicht berechtigt ist, auf die eingeschränkte Spalte zuzugreifen, zeigt der Schutz sensibler Daten den folgenden Fehler an:
Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.
Zum Beheben dieses Problems erteilen Sie dem Dienst-Agent auf der Seite IAM (Identity and Access Management) die Rolle Detaillierter Lesezugriff.
Sensitive Data Protection wiederholt regelmäßig die Profilerstellung für Daten, für die es keine Profile erstellen konnte.
Weitere Informationen zum Zuweisen einer Rolle finden Sie unter Einzelne Rolle zuweisen.
Der Dienst-Agent hat keinen Datenprofilzugriff
Dieses Problem tritt auf, wenn jemand in Ihrer Organisation eine Scankonfiguration auf Organisations- oder Ordnerebene erstellt. Wenn Sie die Details zur Scankonfiguration aufrufen, sehen Sie, dass der Wert für Scanstatus Aktiv mit Fehlern lautet. Wenn Sie sich den Fehler ansehen, zeigt der Schutz sensibler Daten die folgende Fehlermeldung an:
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
Dieser Fehler ist aufgetreten, da der Schutz sensibler Daten Ihrem Dienst-Agent während der Erstellung der Scankonfiguration nicht automatisch die Rolle DLP-Organisationsdatendaten-Treiber zuweisen konnte. Der Ersteller der Scankonfiguration hat keine Berechtigungen zum Gewähren des Zugriffs auf die Datenprofilerstellung, sodass der Schutz sensibler Daten dies in seinem Namen nicht tun konnte.
Informationen zum Beheben dieses Problems finden Sie unter Datenprofiling-Zugriff auf einen Dienst-Agent gewähren.
Das Dienstkonto ist nicht berechtigt, eine Tabelle abzufragen
Dieses Problem tritt auf, wenn der Schutz sensibler Daten versucht, ein Profil für eine Tabelle zu erstellen, für die der Kundenservicemitarbeiter keine Abfrageberechtigung hat. Für den Sensitive Data Protection wird der folgende Fehler angezeigt:
Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query table TABLE. Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query TABLE. [TIMESTAMP]
Führen Sie die folgenden Schritte aus, um das Problem zu beheben:
Prüfen Sie, ob die Tabelle noch vorhanden ist. Wenn die Tabelle vorhanden ist, führen Sie die nächsten Schritte aus.
Aktivieren Sie Cloud Shell.
Wenn Sie aufgefordert werden, Cloud Shell zu autorisieren, klicken Sie auf Autorisieren.
Wenn Sie das
bq-Befehlszeilentool der Google Cloud CLI verwenden möchten, installieren und initialisieren Sie die Google Cloud CLI.Rufen Sie die aktuelle IAM-Richtlinie für die Tabelle ab und drucken Sie sie an
stdout:bq get-iam-policy TABLEErsetzen Sie TABLE durch den vollständigen Ressourcennamen der BigQuery-Tabelle im Format PROJECT_ID:DATASET_ID.TABLE_ID, z. B.
project-id:dataset-id.table-id.Weisen Sie dem Dienst-Agent die Rolle DLP API-Dienst-Agent (
roles/dlp.serviceAgent) zu:bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \ --role=roles/dlp.serviceAgent TABLEDabei gilt:
- SERVICE_AGENT_ID: Die ID des Dienst-Agents, der die Tabelle abfragen muss, z. B.
service-0123456789@dlp-api.iam.gserviceaccount.com. TABLE: Der vollständige Ressourcenname der BigQuery-Tabelle im Format PROJECT_ID:DATASET_ID.TABLE_ID, z. B.
project-id:dataset-id.table-id.Die Ausgabe sieht in etwa so aus:
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE': { "bindings": [ { "members": [ "serviceAccount:SERVICE_AGENT_ID" ], "role": "roles/dlp.serviceAgent" } ], "etag": "BwXNAPbVq+A=", "version": 1 }Sensitive Data Protection wiederholt regelmäßig die Profilerstellung für Daten, für die es keine Profile erstellen konnte.
- SERVICE_AGENT_ID: Die ID des Dienst-Agents, der die Tabelle abfragen muss, z. B.
Das Dienstkonto ist nicht berechtigt, in einem Pub/Sub-Thema zu veröffentlichen
Dieses Problem tritt auf, wenn der Sensitive Data Protection-Dienst versucht, Benachrichtigungen in einem Pub/Sub-Thema zu veröffentlichen, für das der Dienst-Agent keinen Veröffentlichungszugriff hat. Für den Sensitive Data Protection wird der folgende Fehler angezeigt:
Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'. The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.
Um dieses Problem zu beheben, gewähren Sie Ihrem Kundenservicemitarbeiter auf Projekt- oder Themenebene Zugriff zum Veröffentlichen. Ein Beispiel für eine Rolle mit Veröffentlichungszugriff ist die Rolle Pub/Sub-Publisher.
Bei Konfigurations- oder Berechtigungsproblemen mit dem Pub/Sub-Thema versucht der Dienst zum Schutz sensibler Daten bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung noch einmal zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.
Mit der Inspektionsvorlage kann kein Profil für Daten in einer anderen Region erstellt werden
Dieses Problem tritt auf, wenn beim Schutz sensibler Daten versucht wird, Daten zu profilieren, die sich nicht in derselben Region wie die Inspektionsvorlage befinden. Für den Sensitive Data Protection wird der folgende Fehler angezeigt:
Data in region DATA_REGION cannot be profiled using template in region TEMPLATE_REGION. Regional template can only be used to profile data in the same region. If profiling data in multiple regions, use a global template.
In dieser Fehlermeldung ist DATA_REGION die Region, in der sich die Daten befinden, und TEMPLATE_REGION die Region, in der sich die Inspektionsvorlage befindet.
Zur Behebung dieses Problems können Sie die regionsspezifische Vorlage in die Region global kopieren:
Kopieren Sie auf der Seite Details zur Inspektionsvorlage den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat dieses Format:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Bearbeiten Sie die Scankonfiguration und geben Sie den vollständigen Ressourcennamen der neuen Inspektionsvorlage ein.
Klicken Sie auf Speichern.
Sensitive Data Protection wiederholt regelmäßig die Profilerstellung für Daten, für die es keine Profile erstellen konnte.
Beim Schutz sensibler Daten wurde versucht, ein Profil für eine nicht unterstützte Tabelle zu erstellen
Dieses Problem tritt auf, wenn der Schutz sensibler Daten versucht, ein Profil für eine nicht unterstützte Tabelle zu erstellen. Für diese Tabelle erhalten Sie trotzdem ein teilweises Profil mit den Metadaten der Tabelle. Im teilweisen Profil wird jedoch der folgende Fehler angezeigt:
Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].
Wenn Sie keine teilweisen Profile und Fehler für nicht unterstützte Tabellen erhalten möchten, gehen Sie so vor:
- Bearbeiten Sie die Scankonfiguration.
- Klicken Sie im Schritt Zeitpläne verwalten auf Zeitplan bearbeiten.
- Klicken Sie im angezeigten Bereich auf den Tab Bedingungen.
- Klicken Sie im Bereich Tabellen für die Profilierung auf Unterstützte Tabellen profilieren.
Weitere Informationen finden Sie unter Zeitpläne verwalten.
Der vordefinierte Looker-Bericht wird nicht richtig geladen
Weitere Informationen finden Sie unter Fehler mithilfe des vordefinierten Berichts beheben.
Probleme mit dem automatischen Tagging basierend auf der Datensensibilität
Weitere Informationen finden Sie in der Dokumentation zum Steuern des IAM-Zugriffs auf Ressourcen basierend auf der Datensensibilität unter Fehler beheben.