Memecahkan masalah terkait layanan penemuan

Halaman ini menunjukkan cara menyelesaikan masalah pada layanan penemuan Sensitive Data Protection. Untuk mengetahui informasi selengkapnya tentang layanan penemuan, lihat Profil data. Untuk mengetahui informasi tentang cara melihat error yang terkait dengan konfigurasi pemindaian penemuan, lihat Melihat error konfigurasi.

Penampung agen layanan tidak mengaktifkan DLP API

Masalah ini terjadi saat Anda membuat konfigurasi pemindaian tingkat organisasi dan Anda tidak memiliki izin serviceusage.services.enable di project yang Anda pilih sebagai penampung agen layanan. Sensitive Data Protection tidak dapat mengaktifkan DLP API secara otomatis di project.

Permission denied to enable service [dlp.googleapis.com]

Untuk mengatasi masalah ini, lakukan salah satu tugas berikut. Dalam kedua kasus tersebut, Anda harus mendapatkan izin yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Peran yang diperlukan untuk menangani profil data di tingkat organisasi atau folder.

Membuat penampung agen layanan baru

1. Minta administrator untuk memberi Anda peran Project Creator (roles/resourcemanager.projectCreator) di organisasi.
2. Edit konfigurasi pemindaian tingkat organisasi.
3. Di bagian Service agent container, buat penampung agen layanan baru dengan mengklik Create dan mengikuti perintahnya.
4. Simpan konfigurasi Anda.

Memperbarui container agen layanan Anda

1. Minta administrator untuk memberi Anda peran yang memiliki izin serviceusage.services.enable pada project yang Anda pilih sebagai penampung agen layanan.
2. Lihat detail konfigurasi pemindaian untuk melihat error aktif.
3. Temukan error ini dan klik Perbaiki.

Agen layanan tidak memiliki izin untuk membaca kolom yang dikontrol aksesnya

Masalah ini terjadi saat memprofilkan tabel yang menerapkan keamanan tingkat kolom melalui tag kebijakan. Jika agen layanan tidak memiliki izin untuk mengakses kolom yang dibatasi, Perlindungan Data Sensitif akan menampilkan error berikut:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Untuk mengatasi masalah ini, di halaman Identity and Access Management (IAM), berikan peran Fine-Grained Reader kepada agen layanan Anda.

Buka IAM

Sensitive Data Protection secara berkala mencoba lagi pembuatan profil data yang gagal dibuat profilnya.

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Memberikan satu peran.

Agen layanan tidak memiliki akses pembuatan profil data

Masalah ini terjadi setelah seseorang di organisasi Anda membuat konfigurasi pemindaian tingkat organisasi atau folder. Saat Anda melihat detail konfigurasi pemindaian, Anda akan melihat bahwa nilai untuk Status pemindaian adalah Aktif dengan error. Saat Anda melihat error, Perlindungan Data Sensitif akan menampilkan pesan error berikut:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Error ini terjadi karena Perlindungan Data Sensitif tidak dapat memberikan peran DLP Organization Data Profiles Driver secara otomatis kepada agen layanan Anda saat agen tersebut membuat konfigurasi pemindaian Anda. Pembuat konfigurasi pemindaian tidak memiliki izin untuk memberikan akses pembuatan profil data, sehingga Sensitive Data Protection tidak dapat melakukannya atas nama mereka.

Untuk mengatasi masalah ini, lihat Memberikan akses pembuatan profil data kepada agen layanan.

Akun layanan tidak memiliki izin untuk membuat kueri tabel

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba membuat profil tabel yang tidak memiliki izin untuk dikueri oleh agen layanan. Sensitive Data Protection menampilkan error berikut:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Konfirmasi bahwa tabel masih ada. Jika tabel ada, lakukan langkah-langkah berikut.

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Dapatkan kebijakan IAM saat ini untuk tabel, dan cetak ke stdout:

   bq get-iam-policy TABLE
   

   Ganti TABLE dengan nama resource lengkap tabel BigQuery, dalam format PROJECT_ID:DATASET_ID.TABLE_ID—misalnya, project-id:dataset-id.table-id.

3. Berikan peran DLP API Service Agent (roles/dlp.serviceAgent) kepada agen layanan:

   bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
       --role=roles/dlp.serviceAgent TABLE
   

   Ganti kode berikut:

   • SERVICE_AGENT_ID: ID agen layanan yang perlu membuat kueri tabel—misalnya, service-0123456789@dlp-api.iam.gserviceaccount.com.

   • TABLE: nama resource lengkap tabel BigQuery, dalam format PROJECT_ID:DATASET_ID.TABLE_ID—misalnya, project-id:dataset-id.table-id.

     Outputnya mirip dengan hal berikut ini:

   Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
   
   {
    "bindings": [
      {
        "members": [
          "serviceAccount:SERVICE_AGENT_ID"
        ],
        "role": "roles/dlp.serviceAgent"
      }
    ],
    "etag": "BwXNAPbVq+A=",
    "version": 1
   }
   

   Sensitive Data Protection secara berkala mencoba lagi pembuatan profil data yang gagal dibuat profilnya.

Akun layanan tidak memiliki izin untuk memublikasikan ke topik Pub/Sub

Masalah ini terjadi saat Sensitive Data Protection mencoba memublikasikan notifikasi ke topik Pub/Sub yang tidak memiliki akses publikasi untuk agen layanan. Sensitive Data Protection menampilkan error berikut:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Untuk mengatasi masalah ini, berikan akses publikasi, di tingkat project atau topik, kepada agen layanan Anda. Contoh peran yang memiliki akses publikasi adalah peran Pub/Sub Publisher.

Jika ada masalah konfigurasi atau izin dengan topik Pub/Sub, Sensitive Data Protection akan mencoba lagi mengirim notifikasi Pub/Sub hingga dua minggu. Setelah dua minggu, notifikasi akan dihapus.

Template pemeriksaan tidak dapat digunakan untuk membuat profil data di region lain

Masalah ini terjadi saat Sensitive Data Protection mencoba membuat profil data yang tidak berada di region yang sama dengan tempat template pemeriksaan berada. Sensitive Data Protection menampilkan error berikut:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

Dalam pesan error ini, DATA_REGION adalah region tempat data berada, dan TEMPLATE_REGION adalah region tempat template pemeriksaan berada.

Untuk mengatasi masalah ini, Anda dapat menyalin template khusus wilayah ke wilayah global:

1. Salin template inspeksi ke wilayah global.

2. Di halaman Inspection template details, salin nama resource lengkap template. Nama lengkap resource mengikuti format ini:

   projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

3. Edit konfigurasi pemindaian dan masukkan nama resource lengkap template pemeriksaan baru.

4. Klik Simpan.

Sensitive Data Protection secara berkala mencoba lagi pembuatan profil data yang gagal dibuat profilnya.

Sensitive Data Protection mencoba membuat profil tabel yang tidak didukung

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba membuat profil tabel yang tidak didukung. Untuk tabel tersebut, Anda tetap mendapatkan profil parsial yang berisi metadata tabel. Namun, profil sebagian menampilkan error berikut:

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

Jika Anda tidak ingin mendapatkan profil parsial dan error untuk tabel yang tidak didukung, ikuti langkah-langkah berikut:

1. Edit konfigurasi pemindaian.
2. Di langkah Kelola jadwal, klik edit Edit jadwal.
3. Di panel yang muncul, klik tab Kondisi.
4. Di bagian Tables to profile, klik Profile supported tables.

Untuk mengetahui informasi selengkapnya, lihat Mengelola jadwal.

Laporan Looker buatan Google tidak dimuat dengan benar

Lihat Memecahkan masalah error dengan laporan siap pakai.

Masalah terkait pemberian tag otomatis berdasarkan sensitivitas data

Lihat Memecahkan masalah error dalam dokumentasi untuk mengontrol akses IAM ke resource berdasarkan sensitivitas data.

Langkah berikutnya

• Melihat error konfigurasi