Cloud Data Loss Prevention (Cloud DLP) is now a part of Sensitive Data Protection. The API name remains the same: Cloud Data Loss Prevention API (DLP API). For information about the services that make up Sensitive Data Protection, see Sensitive Data Protection overview.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

פתרון בעיות בשירות הגילוי

בדף הזה מוסבר איך לפתור בעיות בשירות הגילוי של Sensitive Data Protection. מידע נוסף על שירות הגילוי זמין במאמר פרופילי נתונים. מידע על צפייה בשגיאות שמשויכות להגדרת סריקת הגילוי זמין במאמר בנושא צפייה בשגיאות בהגדרות.

ה-API של DLP לא מופעל במאגר של סוכן השירות

הבעיה הזו מתרחשת כשיוצרים הגדרת סריקה ברמת הארגון ואין לכם הרשאה serviceusage.services.enable בפרויקט שבחרתם כמאגר של סוכן השירות. המערכת של Sensitive Data Protection לא יכולה להפעיל באופן אוטומטי את DLP API בפרויקט.

Permission denied to enable service [dlp.googleapis.com]

כדי לפתור את הבעיה, מבצעים אחת מהמשימות הבאות. בשני המקרים, צריך לקבל את ההרשאות הנדרשות. מידע נוסף זמין במאמר התפקידים שנדרשים כדי לעבוד עם פרופילי נתונים ברמת הארגון או התיקייה.

יצירת קונטיינר חדש של סוכן שירות

צריך לבקש מהאדמין להקצות לכם את התפקיד 'יצירת פרויקטים' (roles/resourcemanager.projectCreator) בארגון.
עורכים את הגדרות הסריקה ברמת הארגון.
בקטע Service agent container (מאגר תגים של סוכן שירות), לוחצים על Create (יצירה) ופועלים לפי ההנחיות כדי ליצור מאגר תגים חדש של סוכן שירות.
שומרים את ההגדרה.

עדכון הקונטיינר של נציג השירות

בקשו מהאדמין להקצות לכם תפקיד עם ההרשאה serviceusage.services.enable בפרויקט שבחרתם כמאגר של סוכן השירות.
צפייה בפרטים של הגדרות הסריקה כדי לראות את השגיאות הפעילות.
מאתרים את השגיאה ולוחצים על תיקון.

לסוכן השירות אין הרשאה לקרוא עמוד עם בקרת גישה

הבעיה הזו מתרחשת כשמבצעים פרופיל של טבלה שבה נאכפת אבטחה ברמת העמודה באמצעות תגי מדיניות. אם לסוכן השירות אין הרשאה לגשת לעמודה המוגבלת, בשירות Sensitive Data Protection מוצגת השגיאה הבאה:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

כדי לפתור את הבעיה, בדף 'ניהול זהויות והרשאות גישה (IAM)', צריך להקצות לסוכן השירות את התפקיד Fine-Grained Reader.

כניסה לדף IAM

‫Sensitive Data Protection מנסה שוב באופן תקופתי ליצור פרופיל של נתונים שלא הצליח ליצור להם פרופיל.

מידע נוסף על הקצאת תפקידים זמין במאמר הקצאת תפקיד יחיד.

לסוכן השירות אין גישה לפרופיל הנתונים

הבעיה הזו מתרחשת אחרי שמישהו בארגון יוצר הגדרת סריקה ברמת הארגון או התיקייה. כשמציגים את פרטי הגדרת הסריקה, הערך של סטטוס הסריקה הוא פעילה עם שגיאות. כשמציגים את השגיאה, Sensitive Data Protection מציג את הודעת השגיאה הבאה:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

השגיאה הזו התרחשה כי Sensitive Data Protection לא הצליחה להעניק באופן אוטומטי את התפקיד DLP Organization Data Profiles Driver לסוכן השירות שלכם בזמן שהיא יצרה את הגדרות הסריקה. למי שיצר את הגדרת הסריקה אין הרשאות להעניק גישה ליצירת פרופיל נתונים, ולכן Sensitive Data Protection לא הצליח לעשות זאת בשמו.

כדי לפתור את הבעיה, אפשר לעיין במאמר בנושא הענקת גישה ליצירת פרופיל נתונים לסוכן שירות.

לחשבון השירות אין הרשאה לשלוח שאילתה לטבלה

הבעיה הזו מתרחשת כש-Sensitive Data Protection מנסה ליצור פרופיל של טבלה שלסוכן השירות אין הרשאה לשלוח אליה שאילתות. השגיאה הבאה מוצגת ב-Sensitive Data Protection:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

מוודאים שהטבלה עדיין קיימת. אם הטבלה קיימת, מבצעים את השלבים הבאים.

במסוף Google Cloud , מפעילים את Cloud Shell.

הפעלת Cloud Shell

בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.
מקבלים את מדיניות ה-IAM הנוכחית של הטבלה ומדפיסים אותה אל stdout:
```
bq get-iam-policy TABLE
```
מחליפים את TABLE בשם המשאב המלא של טבלת BigQuery, בפורמט PROJECT_ID:DATASET_ID.TABLE_ID – למשל, project-id:dataset-id.table-id.
מקצים את התפקיד DLP API Service Agent (roles/dlp.serviceAgent) לסוכן השירות:
```
bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
    --role=roles/dlp.serviceAgent TABLE
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫SERVICE_AGENT_ID: המזהה של סוכן השירות שצריך לשלוח שאילתה לטבלה, לדוגמה: service-0123456789@dlp-api.iam.gserviceaccount.com.
- ‫TABLE: שם המשאב המלא של הטבלה ב-BigQuery, בפורמט PROJECT_ID:DATASET_ID.TABLE_ID – למשל, project-id:dataset-id.table-id.
  
  הפלט אמור להיראות כך:
```
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':

{
 "bindings": [
   {
     "members": [
       "serviceAccount:SERVICE_AGENT_ID"
     ],
     "role": "roles/dlp.serviceAgent"
   }
 ],
 "etag": "BwXNAPbVq+A=",
 "version": 1
}
```
‫Sensitive Data Protection מנסה שוב באופן תקופתי ליצור פרופיל של נתונים שלא הצליח ליצור להם פרופיל.

לחשבון השירות אין הרשאה לפרסם בנושא Pub/Sub

הבעיה הזו מתרחשת כש-Sensitive Data Protection מנסה לפרסם התראות בנושא Pub/Sub שלסוכן השירות אין גישת פרסום אליו. השגיאה הבאה מוצגת ב-Sensitive Data Protection:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

כדי לפתור את הבעיה, הענק לסוכן השירות הרשאות פרסום ברמת הפרויקט או הנושא. דוגמה לתפקיד עם גישה לפרסום היא התפקיד פרסום הודעות ב-Pub/Sub.

אם יש בעיות בהגדרות או בהרשאות של נושא Pub/Sub, Sensitive Data Protection מנסה לשלוח את ההתראה ל-Pub/Sub במשך שבועיים. אחרי שבועיים, ההתראה נמחקת.

אי אפשר להשתמש בתבנית הבדיקה כדי ליצור פרופיל של נתונים באזור אחר

הבעיה הזו מתרחשת כש-Sensitive Data Protection מנסה ליצור פרופיל של נתונים שלא נמצאים באותו אזור שבו נמצא תבנית הבדיקה. השגיאה הבאה מוצגת ב-Sensitive Data Protection:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

בהודעת השגיאה הזו, DATA_REGION הוא האזור שבו הנתונים נמצאים, ו-TEMPLATE_REGION הוא האזור שבו נמצאת תבנית הבדיקה.

כדי לפתור את הבעיה, אפשר להעתיק את התבנית הספציפית לאזור אל global האזור:

מעתיקים את תבנית הבדיקה לאזור global.
בדף Inspection template details, מעתיקים את שם המשאב המלא של התבנית. הפורמט של השם המלא של המשאב הוא:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
עורכים את הגדרות הסריקה ומזינים את שם המשאב המלא של תבנית הבדיקה החדשה.
לוחצים על Save.

‫Sensitive Data Protection מנסה שוב באופן תקופתי ליצור פרופיל של נתונים שלא הצליח ליצור להם פרופיל.

התבצע ניסיון ליצור פרופיל של טבלה שלא נתמכת על ידי Sensitive Data Protection

הבעיה הזו מתרחשת כשההגנה על מידע אישי רגיש מנסה ליצור פרופיל של טבלה שלא נתמכת. במקרה כזה, עדיין תקבלו פרופיל חלקי של הטבלה עם המטא-נתונים שלה. עם זאת, בפרופיל החלקי מוצגת השגיאה הבאה:

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

אם אתם לא רוצים לקבל פרופילים חלקיים ושגיאות לגבי טבלאות שלא נתמכות, אתם יכולים לפעול לפי השלבים הבאים:

עריכת הגדרות הסריקה.
בשלב ניהול לוחות זמנים, לוחצים על עריכת לוח זמנים.
בחלונית שמופיעה, לוחצים על הכרטיסייה תנאים.
בקטע Tables to profile (טבלאות ליצירת פרופיל), לוחצים על Profile supported tables (יצירת פרופיל של טבלאות נתמכות).

מידע נוסף זמין במאמר בנושא ניהול תזמונים.

הדוח המוכן מראש של Data Studio לא נטען בצורה תקינה

פתרון בעיות בדוח מוכן מראש

בעיות שקשורות לתיוג אוטומטי על סמך רגישות הנתונים

מידע נוסף זמין במאמר בנושא פתרון שגיאות במסמכי התיעוד בנושא שליטה בגישת IAM למשאבים על סמך רגישות הנתונים.

המאמרים הבאים

צפייה בשגיאות בהגדרה

פתרון בעיות בשירות הגילוי קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.