Risolvere i problemi relativi al servizio di scoperta

Questa pagina mostra come risolvere i problemi relativi al servizio di rilevamento di Sensitive Data Protection. Per ulteriori informazioni sul servizio di rilevamento, consulta Profili dei dati. Per informazioni su come visualizzare gli errori associati alla configurazione dell'analisi di rilevamento, vedi Visualizzare gli errori di configurazione.

Il container dell'agente di servizio non ha l'API DLP abilitata

Questo problema si verifica quando crei una configurazione di scansione a livello di organizzazione e non disponi dell'autorizzazione serviceusage.services.enable per il progetto che hai selezionato come contenitore dell'agente di servizio. Sensitive Data Protection non è in grado di attivare automaticamente l'API DLP nel progetto.

Permission denied to enable service [dlp.googleapis.com]

Per risolvere il problema, esegui una delle seguenti operazioni. In entrambi i casi, devi ottenere le autorizzazioni necessarie. Per ulteriori informazioni, vedi Ruoli richiesti per utilizzare i profili di dati a livello di organizzazione o cartella.

Crea un nuovo container dell'agente di servizio

  1. Chiedi all'amministratore di concederti il ruolo Autore progetto (roles/resourcemanager.projectCreator) nell'organizzazione.
  2. Modifica la configurazione della scansione a livello di organizzazione.
  3. Nella sezione Contenitore service agent, crea un nuovo contenitore service agent facendo clic su Crea e seguendo le istruzioni.
  4. Salva la configurazione.

Aggiornare il container dell'agente di servizio

  1. Chiedi all'amministratore di concederti un ruolo con l'autorizzazione serviceusage.services.enable sul progetto che hai selezionato come container dell'agente di servizio.
  2. Visualizza i dettagli della configurazione della scansione per vedere gli errori attivi.
  3. Trova questo errore e fai clic su Ripara.

L'agente di servizio non dispone dell'autorizzazione per leggere una colonna con controllo dell'accesso

Questo problema si verifica durante la profilazione di una tabella che applica la sicurezza a livello di colonna tramite tag di policy. Se l'agente di servizio non dispone dell'autorizzazione per accedere alla colonna con limitazioni, Sensitive Data Protection mostra il seguente errore:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Per risolvere il problema, nella pagina Identity and Access Management (IAM), concedi all'agente di servizio il ruolo Lettore granulare.

Vai a IAM

Sensitive Data Protection riprova periodicamente a profilare i dati per cui non è riuscita a creare un profilo.

Per ulteriori informazioni sulla concessione di un ruolo, consulta Concedere un singolo ruolo.

L'agente di servizio non dispone dell'accesso alla profilazione dei dati

Questo problema si verifica dopo che un utente della tua organizzazione crea una configurazione di scansione a livello di organizzazione o cartella. Quando visualizzi i dettagli della configurazione dell'analisi, vedrai che il valore di Stato dell'analisi è Attivo con errori. Quando visualizzi l'errore, Sensitive Data Protection mostra il seguente messaggio di errore:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Questo errore si è verificato perché Sensitive Data Protection non è riuscito a concedere automaticamente il ruolo Driver dei profili di dati dell'organizzazione DLP all'agente di servizio durante la creazione della configurazione di scansione. L'autore della configurazione della scansione non dispone delle autorizzazioni per concedere l'accesso alla profilazione dei dati, pertanto Sensitive Data Protection non è riuscito a farlo per suo conto.

Per risolvere il problema, consulta Concessione dell'accesso alla profilazione dei dati all'agente di servizio.

Il account di servizio non dispone dell'autorizzazione per eseguire query su una tabella

Questo problema si verifica quando Sensitive Data Protection tenta di profilare una tabella per cui l'agente di servizio non dispone dell'autorizzazione per eseguire query. La protezione dei dati sensibili mostra il seguente errore:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Conferma che la tabella esista ancora. Se la tabella esiste, segui questi passaggi.

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Recupera il criterio IAM corrente per la tabella e stampalo in stdout:

    bq get-iam-policy TABLE

    Sostituisci TABLE con il nome completo della risorsa della tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio project-id:dataset-id.table-id.

  3. Concedi il ruolo Agente di servizio dell'API DLP (roles/dlp.serviceAgent) all'agente di servizio:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
    --role=roles/dlp.serviceAgent TABLE

    Sostituisci quanto segue:

    • SERVICE_AGENT_ID: l'ID del service agent che deve eseguire query sulla tabella, ad esempio service-0123456789@dlp-api.iam.gserviceaccount.com.

    • TABLE: il nome completo della risorsa della tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio project-id:dataset-id.table-id.

      L'output è simile al seguente:

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':

{
 "bindings": [
   {
     "members": [
       "serviceAccount:SERVICE_AGENT_ID"
     ],
     "role": "roles/dlp.serviceAgent"
   }
 ],
 "etag": "BwXNAPbVq+A=",
 "version": 1
}

    Sensitive Data Protection riprova periodicamente a profilare i dati per cui non è riuscita a creare un profilo.

    4. Il account di servizio non dispone dell'autorizzazione per pubblicare in un argomento Pub/Sub

    Questo problema si verifica quando Sensitive Data Protection tenta di pubblicare notifiche in un argomento Pub/Sub in cui l'agente di servizio non dispone dell'accesso alla pubblicazione. La protezione dei dati sensibili mostra il seguente errore:

    Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

    Per risolvere il problema, concedi l'accesso alla pubblicazione, a livello di progetto o argomento, al tuo service agent. Un esempio di ruolo che dispone dell'accesso alla pubblicazione è il ruolo Publisher Pub/Sub.

    Se si verificano problemi di configurazione o autorizzazione con l'argomento Pub/Sub, Sensitive Data Protection riprova a inviare la notifica Pub/Sub per un massimo di due settimane. Dopo due settimane, la notifica viene eliminata.

    Il modello di ispezione non può essere utilizzato per profilare i dati in una regione diversa

    Questo problema si verifica quando Sensitive Data Protection tenta di profilare dati che non si trovano nella stessa regione in cui si trova il modello di ispezione. La protezione dei dati sensibili mostra il seguente errore:

    Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

    In questo messaggio di errore, DATA_REGION è la regione in cui si trovano i dati e TEMPLATE_REGION è la regione in cui si trova il modello di ispezione.

    Per risolvere il problema, puoi copiare il modello specifico per la regione nella regione global:

    1. Copia il modello di ispezione nella regione global.

    2. Nella pagina Dettagli modello di ispezione, copia il nome risorsa completo del modello. Il nome completo della risorsa segue questo formato:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

    3. Modifica la configurazione di scansione e inserisci il nome risorsa completo del nuovo modello di ispezione.

    4. Fai clic su Salva.

    Sensitive Data Protection riprova periodicamente a profilare i dati per cui non è riuscita a creare un profilo.

    Sensitive Data Protection ha tentato di profilare una tabella non supportata

    Questo problema si verifica quando Sensitive Data Protection tenta di profilare una tabella non supportata. Per quella tabella, ottieni comunque un profilo parziale contenente i metadati della tabella. Tuttavia, il profilo parziale mostra il seguente errore:

    Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

    Se non vuoi ottenere profili parziali ed errori per le tabelle non supportate, segui questi passaggi:

    1. Modifica la configurazione della scansione.
    2. Nel passaggio Gestisci pianificazioni, fai clic su Modifica pianificazione.
    3. Nel riquadro visualizzato, fai clic sulla scheda Condizioni.
    4. Nella sezione Tabelle da profilare, fai clic su Profila le tabelle supportate.

    Per saperne di più, consulta Gestire le pianificazioni.

    Il report di Looker predefinito non viene caricato correttamente

    Consulta Risolvere i problemi relativi al report predefinito.

    Consulta la sezione Risolvere i problemi relativi agli errori nella documentazione sul controllo dell'accesso IAM alle risorse in base alla sensibilità dei dati.

    Passaggi successivi