ここでは、サービス エージェントに必要なロールを付与して、組織やフォルダレベルでのデータのプロファイルを作成できるようにする方法について説明します。
次の両方の条件に該当する場合は、これらのタスクを行ってください。
- スキャン構成を組織レベルまたはフォルダレベルで作成した。
機密データの保護によって、スキャン構成のデータ プロファイルが生成されていません。構成エラーを表示すると、次のエラー メッセージが表示されます。
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
サービス エージェントの ID を取得する
スキャン構成に関連付けられているサービス エージェント ID を取得する手順は次のとおりです。
検出スキャン構成リストに移動します。
- ツールバーで、組織を選択します。
- スキャン構成を選択します。
- [スキャン構成の詳細] ページで、[サービス エージェント] フィールドの値をコピーします。サービス エージェント ID はメールアドレスの形式です。
サービス エージェント ID を Google Cloud 管理者に付与します。その後、 Google Cloud 管理者がサービス エージェントにデータ プロファイリングのアクセス権を付与する必要があります。
データ プロファイリングへのアクセス権を付与する
ここでは、サービス エージェントに必要な役割を付与して、組織やフォルダレベルでのデータのプロファイルを作成できるようにする方法について説明します。
サービス エージェントに IAM ロールを付与する権限を持つユーザー( Google Cloud 管理者など)のみが、これらの手順を実行できます。
以下の手順を完了するには、データ プロファイリングへのアクセス権を付与するサービス エージェントの ID が必要です。
組織またはフォルダレベルでデータ プロファイリングのアクセス権を付与するには、次の手順を行います。
Google Cloud コンソールで、[IAM] ページに移動します。
ツールバーで、組織を選択します。
[ アクセスを許可] をクリックします。
[新しいプリンシパル] フィールドに、サービス エージェント ID を入力します。
[ロールを選択] フィールドに「DLP 組織データ プロファイル ドライバ」と入力して選択します。
[保存] をクリックします。