Cloud Data Loss Prevention (Cloud DLP) 現已併入機密資料保護。API 名稱維持不變：Cloud Data Loss Prevention API (DLP API)。如要瞭解構成 Sensitive Data Protection 的服務，請參閱「Sensitive Data Protection 總覽」。

本頁面由 Cloud Translation API 翻譯而成。

根據資料剖析的洞察資訊新增 Dataplex Universal Catalog 切面

本頁說明 Sensitive Data Protection 剖析資源後，如何自動將 Dataplex Universal Catalog 切面新增至資料。這個頁面也提供範例查詢，方便您在機構和專案中，找出具有特定層面值的資料。

如果您想使用從 Sensitive Data Protection 資料剖析檔收集的洞察資料，來擴充 Dataplex Universal Catalog 中的中繼資料，這項功能就非常實用。系統會生成下列洞察：

資料表或資料集的計算機密程度
資料表或資料集的計算資料風險等級
系統在資料表或資料集中偵測到的資訊類型 (infoTypes)

您可以根據 Sensitive Data Protection 資料剖析檔的洞察資訊，使用 Dataplex Universal Catalog 探索貴機構中的機密和高風險資料。您可以根據這些洞察資料，做出明智的決策，瞭解如何管理及控管資料。

關於資料剖析檔

您可以設定 Sensitive Data Protection，自動產生機構、資料夾或專案中資料的剖析檔。資料剖析檔包含資料的指標和中繼資料，可協助您判斷機密和高風險資料的存放位置。Sensitive Data Protection 會在不同詳細程度的層級回報這些指標。

您可以將資料剖析檔傳送至其他 Google Cloud 服務，例如 Dataplex Universal Catalog、Pub/Sub、Security Command Center 和 Google Security Operations，以強化資料控管、快訊和安全性工作流程。

關於 Dataplex Universal Catalog

Dataplex Universal Catalog 提供整合式 Google Cloud 資源清單。

Dataplex Universal Catalog 可讓您使用「層面」，在資料中新增業務和技術中繼資料，擷取資源的背景資訊和知識。然後在整個機構中搜尋及探索資料，並對資料資產啟用資料管理功能。詳情請參閱「層面」。

支援的資源

Sensitive Data Protection 可自動將切面附加至下列資源的 Dataplex Universal Catalog 項目：

BigQuery 資料表
Cloud SQL 資料表

注意： 您必須在 Cloud SQL 執行個體上啟用 Dataplex Universal Catalog 整合功能，才能使用這項功能。
從 BigQuery 資料表建立的 Vertex AI 資料集

Dataplex Universal Catalog 不會擷取 Cloud Storage bucket，因此在剖析 Cloud Storage 資料時，無法使用這項功能。

運作方式

根據資料剖析檔自動建立 Dataplex Universal Catalog 切面的高階工作流程如下：

為支援的資源類型建立或編輯掃描設定。
在「新增動作」步驟中，確認已啟用「傳送至 Dataplex Catalog 做為切面」動作。

如果您要建立掃描設定，這項動作預設為啟用。

如要編輯掃描設定，請啟用這項動作。

針對您剖析的每個支援資源，Sensitive Data Protection 會新增或更新 Dataplex Universal Catalog 項目的 Sensitive Data Protection profile 切面。然後，您可以在 Dataplex Universal Catalog 中，搜尋機構或專案內具有特定切面值的所有資料。

啟用「傳送至 Dataplex Catalog 做為切面」動作後，Sensitive Data Protection 只會將這項動作套用至新的和更新的設定檔。如果現有設定檔未更新，系統不會將其傳送至 Dataplex Universal Catalog。

頂層欄位

剖析資料表後產生的層面可能包含下列頂層欄位：

顯示名稱	範例值	說明
`Sensitivity`	`MODERATE`	資料表的計算機密等級
`Risk`	`MODERATE`	資料表的計算資料風險等級
`InfoTypes`	`infoType`：`CREDIT_CARD_NUMBER` `infoType`：`PHONE_NUMBER` `infoType`：`US_SOCIAL_SECURITY_NUMBER`	資料表中所有 infoType 的清單，包括預測的 infoType 和其他 infoType。如果系統在表格中偵測到至少一個 infoType，就會納入這個欄位。
`Column InfoTypes`	`infoType`：`CREDIT_CARD_NUMBER` `infoType`：`PHONE_NUMBER`	系統在表格所有欄中找到的預測 infoType 清單。如果系統在表格中偵測到至少一個預測的 infoType，就會顯示這個欄位。
`Project Profile`	請參閱本頁面的「專案設定檔和機構設定檔」。	如果資源是透過專案層級的掃描設定進行剖析，則會納入其中。
`Organization Profile`	請參閱本頁面的「專案設定檔和機構設定檔」。	如果資源是透過機構或資料夾層級的掃描作業設定進行剖析，就會納入這類資源。

如果資源是在專案層級和機構/資料夾層級進行剖析，Sensitive Data Protection 會彙整這兩個剖析檔的值。這個層面會提供偵測到的 infoType 聯集，並使用這兩個剖析檔中最高的機密程度和資料風險評分。

舉例來說，假設專案層級設定檔將資源的敏感度評為 MODERATE，而機構層級設定檔則評為 LOW。在本例中，層面頂層 Sensitivity 欄位的值為 MODERATE。

專案設定檔和機構設定檔欄位

視資源的剖析層級而定，產生的 Sensitive Data Protection profile 方面會包含下列一或多個頂層欄位：

Project Profile: 如果資源是透過專案層級的掃描設定進行剖析，則會納入該層面
Organization Profile: 如果資源是透過機構層級或資料夾層級的掃描設定進行剖析，則會納入這個層面

如果資源是在專案層級和機構/資料夾層級進行剖析，則產生的構面會同時包含 Project Profile 和 Organization Profile 欄位。

每個 Project Profile 或 Organization Profile 欄位都包含巢狀 Sensitivity 和 Risk 欄位，以及資料設定檔中列出的值。如果資料剖析包含預測的 infoType 和其他 infoType，這些也會以巢狀 Column InfoTypes 和 InfoTypes 欄位形式提供。此外，每個 Project Profile 或 Organization Profile 欄位都包含下列巢狀欄位：

Profile

資料設定檔的完整資源名稱。範例：

專案層級設定檔：projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
機構層級或資料夾層級的設定檔：organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Profile Link

Google Cloud 控制台中的設定檔連結。範例：

專案層級設定檔：https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
機構層級或資料夾層級的設定檔：https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

啟用 Dataplex API

您必須在每個包含要新增構面資源的專案中啟用 Dataplex API。本節說明如何在單一專案中，或在機構或資料夾中的所有專案中啟用 Dataplex API。

在單一專案中啟用 Dataplex API

選取要啟用 Dataplex API 的專案。

前往專案選取器
Enable the Dataplex API.
Enable the API

在機構或資料夾中的所有專案啟用 Dataplex API

本節提供一個指令碼，可搜尋機構或資料夾中的所有專案，並在每個專案中啟用 Dataplex API。

如要在機構或資料夾的所有專案中啟用 Dataplex API，請管理員授予下列 IAM 角色：

機構或資料夾的「Cloud Asset 檢視者」 (roles/cloudasset.viewer)
DLP 使用者 (roles/dlp.user) 在您要啟用 Dataplex API 的每個專案中

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

這些預先定義的角色具備在組織或資料夾的所有專案中啟用 Dataplex API 的必要權限。如要查看確切的必要權限，請展開「必要權限」部分：

所需權限

如要在機構或資料夾中的所有專案啟用 Dataplex API，您必須具備下列權限：

如要搜尋機構或資料夾中的所有專案： cloudasset.assets.searchAllResources 在機構或資料夾上
如要啟用 Dataplex API，請在要啟用 Dataplex API 的每個專案中執行下列操作： serviceusage.services.use

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

如要在機構或資料夾中的所有專案啟用 Dataplex API，請按照下列步驟操作：

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

執行下列指令碼：

#!/bin/bash

RESOURCE_ID="RESOURCE_ID"

gcloud asset search-all-resources \
    --scope="RESOURCE_TYPE/$RESOURCE_ID" \
    --asset-types="cloudresourcemanager.googleapis.com/Project" \
    --format="value(name)" |
    while read project_name; do
      project_id=$(echo "$project_name" | sed 's|.*/||')
      gcloud services enable "dataplex.googleapis.com" --project="$project_id"
    done

更改下列內容：

RESOURCE_ID：包含專案的資源所屬機構或資料夾編號
RESOURCE_TYPE：包含專案的資源類型，即 organizations 或 folders

查看層面的角色和權限

如要取得搜尋與資源相關聯的層面所需的權限，請要求管理員在資源上授予下列 IAM 角色：

Dataplex Catalog 檢視者 (roles/dataplex.catalogViewer)
BigQuery 資料檢視者 (roles/bigquery.dataViewer)
Vertex AI 檢視者 (roles/aiplatform.viewer)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

這些預先定義的角色具備搜尋與資源相關聯層面所需的權限。如要查看確切的必要權限，請展開「必要權限」部分：

所需權限

如要搜尋與資源相關聯的層面，必須具備下列權限：

查看 Dataplex Universal Catalog 項目：
- dataplex.entries.list
- dataplex.entries.get
查看 BigQuery 資料集和資料表：
- bigquery.datasets.get
- bigquery.tables.get
查看 Vertex AI 資料集： aiplatform.datasets.get

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

如要進一步瞭解使用 Dataplex Universal Catalog 時所需的權限，請參閱「Dataplex Universal Catalog IAM 權限」。

找出特定資料表資料剖析產生的層面

在 Google Cloud 控制台中，前往 Dataplex Universal Catalog 的「Search」(搜尋) 頁面。

前往「Search」(搜尋) 頁面
選取您的機構或專案。
在「選擇搜尋平台」中，選取「Dataplex Catalog」做為搜尋模式。
在「搜尋」欄位中輸入下列內容：
```
name:TABLE_ID
```
將 TABLE_ID 替換為已建立剖析檔的資料表 ID。
在顯示的清單中，按一下表格名稱。系統會顯示 BigQuery 資料表的詳細資料。相關聯的任何Sensitive Data Protection profile切面都會顯示在「選用標記和切面」部分。

如要進一步瞭解如何搜尋資源，請參閱「在 Dataplex Universal Catalog 中搜尋資源」。

搜尋查詢範例

本節提供範例搜尋查詢，您可以在 Dataplex Universal Catalog 中使用這些查詢，在機構或專案中尋找具有特定切面值的資料。

您只能找到自己有權存取的資料。資料存取權由 IAM 權限控管。詳情請參閱本頁面的「查看層面的角色和權限」。

您可以在 Dataplex Universal Catalog 的「Search」(搜尋) 頁面，於「Search」(搜尋) 欄位中輸入這些範例查詢。

前往「Search」(搜尋) 頁面

如要瞭解如何建立查詢，請參閱「Dataplex Universal Catalog 的搜尋語法」。

找出所有具有 Sensitive Data Protection 設定檔層面的資源

aspect:sensitive-data-protection-profile

找出所有具有特定機密程度分數的資源

aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

將 SENSITIVITY_SCORE 替換為 HIGH、MODERATE、UNKNOWN 或 LOW。

詳情請參閱「機密程度與資料風險等級」。

找出具有特定風險分數的所有資源

aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

將 DATA_RISK_LEVEL 替換為 HIGH、MODERATE、UNKNOWN 或 LOW。

詳情請參閱「機密程度與資料風險等級」。

找出所有具有專案層級設定檔的資源

aspect:sensitive-data-protection-profile.projectProfile

找出所有具有機構層級設定檔的資源

aspect:sensitive-data-protection-profile.organizationProfile

根據資料剖析的洞察資訊新增 Dataplex Universal Catalog 切面 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

關於資料剖析檔

關於 Dataplex Universal Catalog

支援的資源

運作方式

頂層欄位

專案設定檔和機構設定檔欄位

啟用 Dataplex API

在單一專案中啟用 Dataplex API

在機構或資料夾中的所有專案啟用 Dataplex API

所需權限

查看層面的角色和權限

所需權限

找出特定資料表資料剖析產生的層面

搜尋查詢範例

找出所有具有 Sensitive Data Protection 設定檔層面的資源

找出所有具有特定機密程度分數的資源

找出具有特定風險分數的所有資源

找出所有具有專案層級設定檔的資源

找出所有具有機構層級設定檔的資源

根據資料剖析的洞察資訊新增 Dataplex Universal Catalog 切面