En esta página se explica cómo solucionar problemas con el servicio de descubrimiento de Protección de Datos Sensibles. Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos. Para obtener información sobre cómo ver los errores asociados a la configuración de tu análisis de descubrimiento, consulta Ver errores de configuración.
El contenedor del agente de servicio no tiene habilitada la API DLP
Este problema se produce cuando creas una configuración de análisis a nivel de organización y no tienes el permiso serviceusage.services.enable en el proyecto que has seleccionado como contenedor del agente de servicio.
Protección de Datos Sensibles no puede habilitar automáticamente la API DLP en el proyecto.
Permission denied to enable service [dlp.googleapis.com]
Para solucionar este problema, realiza una de las siguientes tareas. En ambos casos, debe obtener los permisos necesarios. Para obtener más información, consulta Roles necesarios para trabajar con perfiles de datos a nivel de organización o carpeta.
Crear un contenedor de agente de servicio
- Pide a tu administrador que te asigne el rol de creador de proyectos (
roles/resourcemanager.projectCreator) en la organización. - Edita la configuración de análisis a nivel de organización.
- En la sección Contenedor de agente de servicio, crea un contenedor de agente de servicio haciendo clic en Crear y siguiendo las indicaciones.
- Guarda la configuración.
Actualizar el contenedor del agente de servicio
- Pide a tu administrador que te asigne un rol que tenga el permiso
serviceusage.services.enableen el proyecto que hayas seleccionado como contenedor del agente de servicio. - Consulta los detalles de la configuración del análisis para ver los errores activos.
- Busca este error y haz clic en Reparar.
El agente de servicio no tiene permiso para leer una columna con control de acceso
Este problema se produce al crear un perfil de una tabla que aplica la seguridad a nivel de columna mediante etiquetas de política. Si el agente de servicio no tiene permiso para acceder a la columna restringida, Protección de Datos Sensibles muestra el siguiente error:
Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.
Para solucionar este problema, en la página Gestión de identidades y accesos (IAM), concede a tu agente de servicio el rol Lector detallado.
Ir a Gestión de identidades y accesos
Protección de Datos Sensibles vuelve a intentar periódicamente crear perfiles de datos que no ha podido crear.
Para obtener más información sobre cómo conceder un rol, consulta Asignar un rol concreto.
El agente de servicio no tiene acceso a los perfiles de datos
Este problema se produce después de que alguien de tu organización cree una configuración de análisis a nivel de organización o de carpeta. Cuando consulta los detalles de la configuración de la búsqueda, ve que el valor de Estado de la búsqueda es Activa con errores. Cuando ve el error, Protección de datos sensibles muestra el siguiente mensaje de error:
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
Este error se ha producido porque Protección de Datos Sensibles no ha podido asignar automáticamente el rol DLP Organization Data Profiles Driver a tu agente de servicio mientras creaba tu configuración de análisis. El creador de la configuración de análisis no tiene permisos para conceder acceso a la creación de perfiles de datos, por lo que Protección de Datos Sensibles no ha podido hacerlo en su nombre.
Para solucionar este problema, consulta el artículo Conceder acceso a los perfiles de datos a un agente de servicio.
La cuenta de servicio no tiene permiso para consultar una tabla
Este problema se produce cuando Protección de Datos Sensibles intenta crear un perfil de una tabla a la que el agente de servicio no tiene permiso para consultar. Protección de Datos Sensibles muestra el siguiente error:
Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query table TABLE. Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query TABLE. [TIMESTAMP]
Confirma que la tabla sigue existiendo. Si la tabla existe, sigue estos pasos.
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Obtén la política de gestión de identidades y accesos actual de la tabla e imprímela en
stdout:bq get-iam-policy TABLESustituye TABLE por el nombre de recurso completo de la tabla de BigQuery, con el formato PROJECT_ID:DATASET_ID.TABLE_ID. Por ejemplo,
project-id:dataset-id.table-id.Concede el rol Agente de servicio de la API DLP (
roles/dlp.serviceAgent) al agente de servicio:bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \ --role=roles/dlp.serviceAgent TABLEHaz los cambios siguientes:
- SERVICE_AGENT_ID: el ID del agente de servicio que necesita consultar la tabla. Por ejemplo,
service-0123456789@dlp-api.iam.gserviceaccount.com. TABLE: el nombre de recurso completo de la tabla de BigQuery, con el formato PROJECT_ID:DATASET_ID.TABLE_ID. Por ejemplo,
project-id:dataset-id.table-id.El resultado debería ser similar al siguiente:
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE': { "bindings": [ { "members": [ "serviceAccount:SERVICE_AGENT_ID" ], "role": "roles/dlp.serviceAgent" } ], "etag": "BwXNAPbVq+A=", "version": 1 }Protección de Datos Sensibles vuelve a intentar periódicamente crear perfiles de datos que no ha podido crear.
- SERVICE_AGENT_ID: el ID del agente de servicio que necesita consultar la tabla. Por ejemplo,
En la página Detalles de la plantilla de inspección, copie el nombre completo del recurso de la plantilla. El nombre completo del recurso sigue este formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Edite la configuración del análisis e introduzca el nombre completo del recurso de la nueva plantilla de inspección.
Haz clic en Guardar.
- Edita la configuración del análisis.
- En el paso Gestionar programaciones, haz clic en Editar programación.
- En el panel que aparece, haz clic en la pestaña Condiciones.
- En la sección Tablas que se van a crear, haga clic en Crear tablas compatibles.
La cuenta de servicio no tiene permiso para publicar en un tema de Pub/Sub
Este problema se produce cuando Protección de Datos Sensibles intenta publicar notificaciones en un tema de Pub/Sub en el que el agente de servicio no tiene acceso de publicación. Protección de Datos Sensibles muestra el siguiente error:
Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'. The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.
Para solucionar este problema, concede acceso de publicación a tu agente de servicio a nivel de proyecto o de tema. Un ejemplo de rol que tiene acceso de publicación es el rol Editor de Pub/Sub.
Si hay problemas de configuración o de permisos con el tema de Pub/Sub, Protección de Datos Sensibles vuelve a intentar enviar la notificación de Pub/Sub durante un máximo de dos semanas. Al cabo de dos semanas, la notificación se descarta.
La plantilla de inspección no se puede usar para crear perfiles de datos de otra región
Este problema se produce cuando Protección de Datos Sensibles intenta crear un perfil de datos que no se encuentra en la misma región que la plantilla de inspección. Protección de Datos Sensibles muestra el siguiente error:
Data in region DATA_REGION cannot be profiled using template in region TEMPLATE_REGION. Regional template can only be used to profile data in the same region. If profiling data in multiple regions, use a global template.
En este mensaje de error, DATA_REGION es la región en la que residen los datos y TEMPLATE_REGION es la región en la que reside la plantilla de inspección.
Para solucionar este problema, puedes copiar la plantilla específica de la región en la región global:
Protección de Datos Sensibles vuelve a intentar periódicamente crear perfiles de datos que no ha podido crear.
Protección de Datos Sensibles ha intentado crear un perfil de una tabla no admitida
Este problema se produce cuando Protección de Datos Sensibles intenta crear un perfil de una tabla que no se admite. En esa tabla, seguirá obteniendo un perfil parcial que contenga los metadatos de la tabla. Sin embargo, el perfil parcial muestra el siguiente error:
Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].
Si no quieres obtener perfiles parciales ni errores en tablas no admitidas, sigue estos pasos:
Para obtener más información, consulta el artículo sobre cómo gestionar programaciones.
El informe de Looker prediseñado no se carga correctamente
Consulta Solucionar problemas con el informe predefinido.
Problemas relacionados con el etiquetado automático basado en la sensibilidad de los datos
Consulta la sección Solucionar errores de la documentación sobre cómo controlar el acceso a los recursos mediante la gestión de identidades y accesos en función de la sensibilidad de los datos.