Eine Sensitive Data Protection-Aktion ist ein Vorgang, der nach dem erfolgreichen Abschluss eines Vorgangs oder im Fall von E-Mails bei Auftreten eines Fehlers ausgeführt wird. Beispielsweise können Sie die Ergebnisse in einer BigQuery-Tabelle speichern, eine Benachrichtigung in einem Pub/Sub-Thema veröffentlichen oder eine E-Mail senden, wenn ein Vorgang erfolgreich abgeschlossen oder wegen eines Fehlers beendet wurde.
Verfügbare Aktionen
Wenn Sie einen Sensitive Data Protection-Job ausführen, wird standardmäßig eine Zusammenfassung der Ergebnisse in Sensitive Data Protection gespeichert. Sie können sich diese Zusammenfassung mithilfe von Sensitive Data Protection in der Google Cloud Console ansehen. Für Jobs können Sie auch zusammenfassende Informationen in der DLP API mit der Methode projects.dlpJobs.get abrufen.
Je nach Art des ausgeführten Vorgangs werden von Sensitive Data Protection verschiedene Arten von Aktionen unterstützt. Die folgenden Aktionen werden unterstützt.
Ergebnisse in BigQuery speichern
Speichern Sie die Ergebnisse des Jobs zum Schutz sensibler Daten in einer BigQuery. Bevor Sie die Ergebnisse ansehen oder analysieren, sollten Sie zuerst prüfen, ob der Job abgeschlossen wurde.
Bei jeder Ausführung eines Scans speichert Sensitive Data Protection Scanergebnisse in der angegebenen BigQuery-Tabelle. Die exportierten Ergebnisse enthalten Details zum Speicherort der einzelnen Übereinstimmungen und zur Übereinstimmungswahrscheinlichkeit. Wenn jedes Ergebnis den String enthalten soll, der mit dem infoType-Detektor übereinstimmt, aktivieren Sie die Option Include quote (Zitat einfügen).
Wenn Sie keine Tabellen-ID angeben, weist BigQuery einer neuen Tabelle einen Standardnamen zu, wenn der Scan zum ersten Mal ausgeführt wird. Wenn Sie eine vorhandene Tabelle angeben, hängt Sensitive Data Protection Scanergebnisse an diese an.
Wenn Daten in eine BigQuery-Tabelle geschrieben werden, werden die Abrechnung und Kontingentnutzung dem Projekt zugeschrieben, das die Zieltabelle enthält.
Wenn Sie die Ergebnisse nicht in BigQuery speichern, enthalten die Scanergebnisse nur Statistiken zur Anzahl und zu den infoTypes der Ergebnisse.
In Pub/Sub veröffentlichen
Veröffentlichen Sie eine Benachrichtigung, die den Namen des Schutz sensibler Daten-Jobs als Attribut für einen Pub/Sub-Kanal enthält. Sie können ein oder mehrere Themen angeben, an die die Benachrichtigung gesendet werden soll. Das Dienstkonto für den Schutz sensibler Daten, mit dem der Scanvorgang ausgeführt wird, muss Veröffentlichungszugriff auf das Thema haben.
Wenn es Konfigurations- oder Berechtigungsprobleme mit dem Pub/Sub-Thema gibt, versucht Sensitive Data Protection bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.
In Security Command Center veröffentlichen
Eine Zusammenfassung der Jobergebnisse in Security Command Center veröffentlichen. Weitere Informationen finden Sie unter Ergebnisse von Scans zum Schutz sensibler Daten an Security Command Center senden.
In Data Catalog veröffentlichen
Senden Sie Jobergebnisse an Data Catalog. Diese Funktion ist veraltet.
Per E-Mail benachrichtigen
E‑Mail senden, wenn der Job abgeschlossen ist. Die E-Mail wird an IAM-Projektinhaber und technische wichtige Kontakte gesendet.
In Cloud Monitoring veröffentlichen
Senden Sie Inspektionsergebnisse an Cloud Monitoring in Google Cloud Observability.
De-identifizierte Kopie erstellen
Alle Ergebnisse in den geprüften Daten de-identifizieren und den de-identifizierten Inhalt in eine neue Datei schreiben. Sie können die anonymisierte Kopie dann in Ihren Geschäftsprozessen anstelle von Daten mit vertraulichen Informationen verwenden. Weitere Informationen finden Sie unter De-identifizierte Kopie von Cloud Storage-Daten mit Sensitive Data Protection in derGoogle Cloud Console erstellen.
Unterstützte Vorgänge
In der folgenden Tabelle sind die Vorgänge für den Schutz sensibler Daten und die Verfügbarkeit der einzelnen Aktionen aufgeführt.
| Aktion | BigQuery-Überprüfung | Cloud Storage-Überprüfung | Datastore-Prüfung | Hybridprüfung | Risikoanalyse | Discovery (Datenprofilerstellung) |
|---|---|---|---|---|---|---|
| In Google Security Operations veröffentlichen | ✓ | |||||
| Ergebnisse in BigQuery speichern | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| In Pub/Sub veröffentlichen | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| In Security Command Center veröffentlichen | ✓ | ✓ | ✓ | ✓ | ||
| In Data Catalog veröffentlichen (eingestellt) | ✓ | ✓ | ||||
| In Dataplex Universal Catalog veröffentlichen | ✓ | |||||
| Per E-Mail benachrichtigen | ✓ | ✓ | ✓ | ✓ | ✓ | |
| In Cloud Monitoring veröffentlichen | ✓ | ✓ | ✓ | ✓ | ||
| Ergebnisse de-identifizieren | ✓ |
Aktionen angeben
Sie können beim Konfigurieren eines Schutzes sensibler Daten eine oder mehrere Aktionen angeben:
- Wenn Sie einen neuen Inspektions- oder Risikoanalysejob mit Sensitive Data Protection in der Google Cloud Konsole erstellen, geben Sie Aktionen im Abschnitt Aktionen hinzufügen des Workflows zur Joberstellung an.
- Wenn Sie eine neue Jobanfrage konfigurieren, um sie an die DLP API zu senden, geben Sie Aktionen im Objekt
Actionan.
Weitere Informationen und Beispielcode in mehreren Sprachen finden Sie unter:
- Inspektionsjobs erstellen und planen
- k-Anonymität für ein Dataset berechnen
- l-Diversität für ein Dataset berechnen
Beispielszenario für eine Aktion
Sie können Sensitive Data Protection-Aktionen verwenden, um Prozesse basierend auf Sensitive Data Protection-Scanergebnissen zu automatisieren. Angenommen, Sie haben eine BigQuery-Tabelle für einen externen Partner freigegeben. Sie möchten, dass diese Tabelle keine vertraulichen Kennzeichnungen wie US-Sozialversicherungsnummern (infoType US_SOCIAL_SECURITY_NUMBER) enthält und, falls doch solche Kennzeichnungen gefunden werden, der Partner keinen Zugriff erhält. Hier ist ein grober Überblick über einen Workflow mit Aktionen:
- Erstellen Sie einen Job-Trigger zum Schutz sensibler Daten, mit dem alle 24 Stunden ein Inspektionsscan der BigQuery-Tabelle ausgeführt wird.
- Legen Sie für diese Jobs als Aktion fest, dass eine Pub/Sub-Benachrichtigung im Thema "projects/foo/scan_notifications" veröffentlicht wird.
- Erstellen Sie eine Cloud Functions-Funktion, die eingehende Nachrichten auf "projects/foo/scan_notifications" überwacht. Diese Cloud Functions-Funktion empfängt alle 24 Stunden den Namen des Sensitive Data Protection-Jobs und ruft Sensitive Data Protection auf, um zusammengefasste Ergebnisse von diesem Job zu erhalten. Wurden Sozialversicherungsnummern gefunden, kann die Funktion die Einstellungen in BigQuery oder in Cloud Identity and Access Management (IAM) ändern, um den Zugriff auf die Tabelle zu beschränken.
Nächste Schritte
- Mehr zu den für Inspektionsjobs verfügbaren Aktionen
- Mehr zu Aktionen, die mit Risikoanalysejobs verfügbar sind