使用 Sensitive Data Protection 掃描 BigQuery 資料

瞭解自己的機密資料位於何處,通常是確認能夠妥善保護和管理這些資料的第一步。知道這點有助於降低信用卡號碼、醫療資訊、身分證字號、駕照號碼、地址、全名以及公司特定機密等敏感詳細資訊的暴露風險。此外,定期掃描資料也有助符合法規遵循要求,並確保您可以在資料隨著使用而增加或改變時,採行最佳做法。請使用 Sensitive Data Protection 檢查 BigQuery 資料表,並保護機密資料,以符合法規遵循要求。

您可以透過兩種方式掃描 BigQuery 資料:

  • 機密資料分析。Sensitive Data Protection 可針對機構、資料夾或專案中的 BigQuery 資料產生剖析檔。資料剖析檔包含資料表的指標和中繼資料,可協助您判斷機密和高風險資料的存放位置。機密資料保護會在專案、資料表和資料欄層級回報這些指標。詳情請參閱「BigQuery 資料的資料分析器」。

  • 隨選檢查。機密資料保護功能可對單一資料表或一小部分欄進行深入檢查,並將檢查結果回報至儲存格層級。這類檢查可協助您找出特定資料類型的個別例項,例如表格儲存格內信用卡號碼的確切位置。您可以透過Google Cloud 控制台的「Sensitive Data Protection」頁面、「BigQuery」BigQuery頁面,或是透過 DLP API 的程式碼進行檢查。 Google Cloud

本頁面說明如何透過 Google Cloud 控制台的「BigQuery」BigQuery頁面,執行按需檢查作業。

Sensitive Data Protection 是一項全代管服務,可讓 Google Cloud 客戶大規模識別及保護機密資料。機密資料保護會運用超過 150 項預先定義的偵測工具來識別模式、格式和總和檢查碼。此外,Sensitive Data Protection 還會提供一組資料去識別化的工具,包括遮蓋、代碼化、匿名化、日期轉移等做法,這些工具都不需要複製客戶資料。

如要進一步瞭解 Sensitive Data Protection,請參閱 Sensitive Data Protection 說明文件。

事前準備

  1. 瞭解 Sensitive Data Protection 定價,以及如何控管 Sensitive Data Protection 費用

  2. 啟用 DLP API

    啟用 API

  3. 確認將適當的預先定義 Sensitive Data Protection 身分與存取權管理角色或充分的權限授予建立 Sensitive Data Protection 工作的使用者,以利其執行 Sensitive Data Protection 工作。

使用 Google Cloud 控制台掃描 BigQuery 資料

如要掃描 BigQuery 資料,請建立 Sensitive Data Protection 工作,以便分析資料表。您可以使用 BigQuery 主控台中的「Scan with Sensitive Data Protection」選項,快速掃描 BigQuery 資料表。 Google Cloud

如何使用 Sensitive Data Protection 掃描 BigQuery 資料表:

  1. 前往 Google Cloud 控制台的「BigQuery」頁面。

    前往 BigQuery

  2. 在「Explorer」面板中展開專案和資料集,然後選取資料表。

  3. 依序按一下「匯出」>「透過 Sensitive Data Protection 掃描」。系統會在新分頁中開啟「敏感資料保護」工作建立頁面。

  4. 在「步驟 1:選擇輸入資料」中,輸入工作 ID。系統會自動產生「Location」部分的值。此外,還會自動設定「Sampling」(取樣) 部分以針對資料執行範例掃描,但您可以視需要調整設定。

  5. 按一下「繼續」

  6. 選用步驟:您可以在步驟 2:「Configure detection」(設定偵測作業) 中設定要尋找的資料類型 (稱為 infoTypes)。

    執行下列其中一個步驟:

    • 如要從預先定義的 infoTypes 清單中選取,請按一下「管理 infoTypes」。然後選取要搜尋的 infoType。
    • 如要使用現有的檢查範本,請在「範本名稱」欄位中輸入範本的完整資源名稱。

    如要進一步瞭解 infoTypes,請參閱 Sensitive Data Protection 說明文件中的 InfoTypes 及 infoType 偵測工具一文。

  7. 按一下「繼續」

  8. 選用步驟:在步驟 3:新增動作 中,啟用「Save to BigQuery」(儲存至 BigQuery),以將 Sensitive Data Protection 發現項目發布至 BigQuery 資料表。如果您未儲存發現項目,已完成的工作只會包含發現項目的數量及其 infoTypes 的相關統計資料。將發現項目儲存至 BigQuery,即可儲存精確位置的詳細資料,以及各個發現項目的可信度。

  9. 選用:如果您已啟用「Save to BigQuery」,請在「Save to BigQuery」部分輸入以下資訊:

    • 專案 ID:儲存結果的專案 ID。
    • 資料集 ID:儲存結果的資料集名稱。
    • 選用:資料表 ID:儲存結果的資料表名稱。如果未指定資料表 ID,系統會為新資料表指派類似此例的預設名稱:dlp_googleapis_date_1234567890。如果您指定現有的資料表,發現項目就會附加至該資料表。

    如要納入偵測到的實際內容,請開啟「納入引言」

  10. 按一下「繼續」

  11. 選用:在步驟 4:「Schedule」(排程) 中,選取「Specify time span」(指定時距) 或「Create a trigger to run the job on a periodic schedule」(建立觸發條件來定期執行工作) 以設定時距或排程。

  12. 按一下「繼續」

  13. 選用:在「Review」頁面上,檢查工作的詳細資料。視需要調整先前的設定。

  14. 按一下 [建立]。

  15. Sensitive Data Protection 工作完成後,系統會將您重新導向至工作詳細資料頁面,並且透過電子郵件通知您。您可以在工作詳細資料頁面上查看掃描結果,或是在工作完成電子郵件中按一下「敏感資料保護」工作詳細資料頁面的連結。

  16. 如果您選擇將「Sensitive Data Protection」(敏感資料保護) 發現項目發布至 BigQuery,請在「Job details」(工作詳細資料)頁面上按一下「View Findings in BigQuery」(在 BigQuery 中查看發現項目),以在 Google Cloud 控制台中開啟資料表。接下來,您可以查詢資料表和分析發現項目。如要進一步瞭解如何在 BigQuery 中查詢結果,請參閱 Sensitive Data Protection 說明文件中的「在 BigQuery 中查詢 Sensitive Data Protection 發現項目」一文。

後續步驟

如果您要遮蓋或用其他方式將機密資料保護掃描找到的機密資料去識別化,請參閱以下內容: