Resolver problemas com o serviço de descoberta

Nesta página, mostramos como resolver problemas com o serviço de descoberta da Proteção de dados sensíveis. Para mais informações sobre o serviço de descoberta, consulte Perfis de dados.

O agente de serviço não tem permissão para ler uma coluna controlada por acesso

Esse problema ocorre ao criar um perfil de tabela que aplica a segurança no nível da coluna por meio de tags de política. Se o agente de serviço não tiver permissão para acessar a coluna restrita, a Proteção de dados sensíveis vai mostrar o seguinte erro:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Para resolver esse problema, na página "Gerenciamento de identidade e acesso (IAM)", conceda ao agente de serviço o papel de Leitor refinado.

Acesse IAM

A Proteção de Dados Sensíveis tenta periodicamente criar o perfil de dados que não foi possível criar o perfil.

Para mais informações sobre como conceder um papel, consulte Conceder um único papel.

O agente de serviço não tem acesso à criação de perfil de dados

Esse problema ocorre depois que alguém na sua organização cria uma configuração de verificação no nível da organização ou da pasta. Ao ver os detalhes da configuração da verificação, você vê que o valor de Status de verificação é Ativo com erros. Quando você visualiza o erro, a Proteção de dados sensíveis mostra a seguinte mensagem de erro:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Esse erro ocorreu porque a proteção de dados sensíveis não concedeu automaticamente o papel Driver de perfis de dados da organização do DLP ao agente de serviço ao criar a configuração de verificação. O criador da configuração de verificação não tem permissões para conceder acesso à criação de perfil de dados. Por isso, a Proteção de dados sensíveis não conseguiu fazer isso em nome dele.

Para resolver esse problema, consulte Conceder acesso à criação de perfil de dados a um agente de serviço.

A conta de serviço não tem permissão para consultar tabelas

Esse problema ocorre quando a Proteção de dados sensíveis tenta criar o perfil de uma tabela que o agente de serviço não tem permissão para consultar. A Proteção de Dados Sensíveis mostra o seguinte erro:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Para resolver o problema, siga estas etapas:

  1. Confirme se a tabela ainda existe. Se a tabela existir, execute as próximas etapas.

  2. Ative o Cloud Shell.

    Ativar o Cloud Shell

    Se for solicitado que você autorize o Cloud Shell, clique em Autorizar.

    Se preferir, se você quiser usar a ferramenta de linha de comando bq da Google Cloud CLI, instale e inicialize a Google Cloud CLI.

  3. Consiga a política atual do IAM para a tabela e imprima-a em stdout:

    bq get-iam-policy TABLE
    

    Substitua TABLE pelo nome completo do recurso da tabela do BigQuery, no formato PROJECT_ID:DATASET_ID.TABLE_ID, por exemplo, project-id:dataset-id.table-id.

  4. Conceda o papel Agente de serviço da API DLP (roles/dlp.serviceAgent) ao agente de serviço:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
        --role=roles/dlp.serviceAgent TABLE
    

    Substitua:

    • SERVICE_AGENT_ID: o ID do agente de serviço que precisa consultar a tabela, por exemplo, service-0123456789@dlp-api.iam.gserviceaccount.com.
    • TABLE: o nome completo do recurso da tabela do BigQuery, no formato PROJECT_ID:DATASET_ID.TABLE_ID, por exemplo, project-id:dataset-id.table-id.

      O resultado será assim:

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
    
    {
     "bindings": [
       {
         "members": [
           "serviceAccount:SERVICE_AGENT_ID"
         ],
         "role": "roles/dlp.serviceAgent"
       }
     ],
     "etag": "BwXNAPbVq+A=",
     "version": 1
    }
    

    A Proteção de Dados Sensíveis tenta periodicamente criar o perfil de dados que não foi possível criar.

A conta de serviço não tem permissão para publicar em um tópico do Pub/Sub

Esse problema ocorre quando a Proteção de Dados Sensíveis tenta publicar notificações em um tópico do Pub/Sub em que o agente de serviço não tem acesso de publicação. A Proteção de Dados Sensíveis mostra o seguinte erro:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Para resolver esse problema, conceda acesso de publicação a um projeto ou tópico ao seu agente de serviço. Um exemplo de função que tem acesso de publicação é o Editor do Pub/Sub.

Se houver problemas de configuração ou permissão com o tópico do Pub/Sub, a Proteção de dados sensíveis vai tentar enviar a notificação do Pub/Sub por até duas semanas. Após duas semanas, a notificação é descartada.

Não é possível usar o modelo de inspeção para criar perfis de dados em uma região diferente

Esse problema ocorre quando a Proteção de dados sensíveis tenta criar o perfil de dados que não residem na mesma região em que o modelo de inspeção. A Proteção de Dados Sensíveis mostra o seguinte erro:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

Nesta mensagem de erro, DATA_REGION é a região em que os dados residem e TEMPLATE_REGION é a região em que o modelo de inspeção reside.

Para resolver esse problema, copie o modelo específico à região para a região global:

  1. Copie o modelo de inspeção para a região global.

  2. Na página Detalhes do modelo de inspeção, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
  3. Edite a configuração de verificação e insira o nome completo do recurso do novo modelo de inspeção.

  4. Clique em Salvar.

A Proteção de Dados Sensíveis tenta criar o perfil dos dados que não foram criados.

A Proteção de dados sensíveis tentou criar um perfil de uma tabela sem suporte

Esse problema ocorre quando a Proteção de dados sensíveis tenta criar o perfil de uma tabela que não tem suporte. Para essa tabela, você ainda recebe um perfil parcial com os metadados dela. No entanto, o perfil parcial mostra o seguinte erro:

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

Se você não quiser receber perfis parciais e erros para tabelas sem suporte, siga estas etapas:

  1. Edite a configuração da verificação.
  2. Na etapa Gerenciar programações, clique em Editar programação.
  3. No painel exibido, clique na guia Condições.
  4. Na seção Tabelas para perfil, clique em Perfil das tabelas com suporte.

Para mais informações, consulte Gerenciar programações.

O relatório predefinido do Looker não está sendo carregado corretamente

Consulte Resolver erros com o relatório pré-criado.

Consulte Resolver erros na documentação para controlar o acesso do IAM a recursos com base na sensibilidade de dados.