Memecahkan masalah terkait layanan penemuan

Halaman ini menunjukkan cara menyelesaikan masalah terkait layanan penemuan Perlindungan Data Sensitif. Untuk mengetahui informasi selengkapnya tentang layanan penemuan, lihat Profil data.

Agen layanan tidak memiliki izin untuk membaca kolom yang dikontrol akses

Masalah ini terjadi saat membuat profil tabel yang menerapkan keamanan tingkat kolom melalui tag kebijakan. Jika agen layanan tidak memiliki izin untuk mengakses kolom yang dibatasi, Perlindungan Data Sensitif akan menampilkan error berikut:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Untuk mengatasi masalah ini, di halaman Identity and Access Management (IAM), berikan peran Fine-Grained Reader kepada agen layanan Anda.

Buka IAM

Sensitive Data Protection secara berkala mencoba membuat profil data yang gagal dibuat profilnya.

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Memberikan satu peran.

Agen layanan tidak memiliki akses pembuatan profil data

Masalah ini terjadi setelah seseorang di organisasi Anda membuat konfigurasi pemindaian tingkat organisasi atau folder. Saat melihat detail konfigurasi pemindaian, Anda akan melihat bahwa nilai untuk Status pemindaian adalah Aktif dengan error. Saat Anda melihat error, Perlindungan Data Sensitif akan menampilkan pesan error berikut:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Error ini terjadi karena Perlindungan Data Sensitif tidak dapat otomatis memberikan peran DLP Organization Data Profiles Driver kepada agen layanan Anda saat membuat konfigurasi pemindaian. Pembuat konfigurasi pemindaian tidak memiliki izin untuk memberikan akses pembuatan profil data, sehingga Perlindungan Data Sensitif tidak dapat melakukannya atas nama mereka.

Untuk mengatasi masalah ini, lihat Memberikan akses pembuatan profil data ke agen layanan.

Akun layanan tidak memiliki izin untuk membuat kueri tabel

Masalah ini terjadi saat Sensitive Data Protection mencoba membuat profil tabel yang tidak memiliki izin untuk dikueri oleh agen layanan. Sensitive Data Protection menampilkan error berikut:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Untuk menyelesaikan masalah ini, ikuti langkah berikut:

  1. Pastikan tabel masih ada. Jika tabel sudah ada, lakukan langkah berikutnya.

  2. Aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Jika Anda diminta untuk memberikan otorisasi pada Cloud Shell, klik Authorize.

    Atau, jika Anda ingin menggunakan alat command line bq dari Google Cloud CLI, instal dan lakukan inisialisasi Google Cloud CLI.

  3. Dapatkan kebijakan IAM saat ini untuk tabel, dan cetak ke stdout:

    bq get-iam-policy TABLE
    

    Ganti TABLE dengan nama resource lengkap tabel BigQuery, dalam format PROJECT_ID:DATASET_ID.TABLE_ID—misalnya, project-id:dataset-id.table-id.

  4. Berikan peran DLP API Service Agent (roles/dlp.serviceAgent) ke agen layanan:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
        --role=roles/dlp.serviceAgent TABLE
    

    Ganti kode berikut:

    • SERVICE_AGENT_ID: ID agen layanan yang perlu membuat kueri tabel—misalnya, service-0123456789@dlp-api.iam.gserviceaccount.com.
    • TABLE: nama resource lengkap tabel BigQuery, dalam format PROJECT_ID:DATASET_ID.TABLE_ID—misalnya, project-id:dataset-id.table-id.

      Outputnya mirip dengan hal berikut ini:

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
    
    {
     "bindings": [
       {
         "members": [
           "serviceAccount:SERVICE_AGENT_ID"
         ],
         "role": "roles/dlp.serviceAgent"
       }
     ],
     "etag": "BwXNAPbVq+A=",
     "version": 1
    }
    

    Sensitive Data Protection secara berkala mencoba membuat profil data yang gagal dibuat profilnya.

Akun layanan tidak memiliki izin untuk memublikasikan ke topik Pub/Sub

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba memublikasikan notifikasi ke topik Pub/Sub tempat agen layanan tidak memiliki akses publikasi. Sensitive Data Protection menampilkan error berikut:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Untuk mengatasi masalah ini, berikan akses publikasi, di tingkat project atau topik, kepada agen layanan Anda. Contoh peran yang memiliki akses publikasi adalah peran Pub/Sub Publisher.

Jika ada masalah konfigurasi atau izin dengan topik Pub/Sub, Perlindungan Data Sensitif akan mencoba mengirim notifikasi Pub/Sub lagi hingga dua minggu. Setelah dua minggu, notifikasi akan dihapus.

Template pemeriksaan tidak dapat digunakan untuk membuat profil data di region lain

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba membuat profil data yang tidak berada di region yang sama dengan template pemeriksaan. Sensitive Data Protection menampilkan error berikut:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

Dalam pesan error ini, DATA_REGION adalah region tempat data berada, dan TEMPLATE_REGION adalah region tempat template inspeksi berada.

Untuk mengatasi masalah ini, Anda dapat menyalin template khusus region ke region global:

  1. Salin template inspeksi ke region global.

  2. Di halaman Inspection template details, salin nama resource lengkap template. Nama resource lengkap mengikuti format ini:

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
  3. Edit konfigurasi pemindaian dan masukkan nama resource lengkap template pemeriksaan baru.

  4. Klik Simpan.

Sensitive Data Protection secara berkala mencoba membuat profil data yang gagal dibuat profilnya.

Sensitive Data Protection mencoba membuat profil tabel yang tidak didukung

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba membuat profil tabel yang tidak didukung. Untuk tabel tersebut, Anda masih mendapatkan profil parsial yang berisi metadata tabel. Namun, profil sebagian menampilkan error berikut:

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

Jika Anda tidak ingin mendapatkan profil sebagian dan error untuk tabel yang tidak didukung, ikuti langkah-langkah berikut:

  1. Edit konfigurasi pemindaian.
  2. Pada langkah Kelola jadwal, klik Edit jadwal.
  3. Di panel yang muncul, klik tab Kondisi.
  4. Di bagian Tabel untuk dibuat profilnya, klik Buat profil tabel yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Mengelola jadwal.

Laporan Looker siap pakai tidak dimuat dengan benar

Lihat Memecahkan masalah error dengan laporan siap pakai.

Lihat Memecahkan masalah error dalam dokumentasi untuk mengontrol akses IAM ke resource berdasarkan sensitivitas data.