Actions

Une action Sensitive Data Protection est un événement qui se produit une fois qu'une opération a été exécutée avec succès ou, s'il s'agit d'e-mails, en cas d'erreur. Par exemple, vous pouvez enregistrer les résultats dans une table BigQuery, publier une notification dans un sujet Pub/Sub ou envoyer un e-mail lorsqu'une opération se termine avec succès ou s'arrête en raison d'une erreur.

Actions disponibles

Lorsque vous exécutez une tâche de protection des données sensibles, un résumé de ses résultats est enregistré par défaut dans Sensitive Data Protection. Vous pouvez afficher ce résumé à l'aide de Sensitive Data Protection dans la console Google Cloud. Pour les tâches, vous pouvez également récupérer des informations récapitulatives dans l'API DLP à l'aide de la méthode projects.dlpJobs.get.

La protection des données sensibles prend en charge différents types d'actions en fonction du type d'opération exécutée. Voici les actions acceptées.

Enregistrer les résultats dans BigQuery

Enregistrez les résultats de la tâche Sensitive Data Protection dans une table BigQuery. Avant de visualiser ou d'analyser les résultats, assurez-vous que la tâche est bien terminée.

Chaque fois qu'une analyse est exécutée, Sensitive Data Protection enregistre les résultats d'analyse dans la table BigQuery que vous spécifiez. Les résultats exportés contiennent des détails sur l'emplacement de chaque résultat et la probabilité de correspondance. Si vous souhaitez que chaque résultat inclue la chaîne correspondant au détecteur d'infoType, activez l'option Inclure les guillemets.

Si vous ne spécifiez pas d'ID de table, BigQuery attribue un nom par défaut à une nouvelle table lors de la première exécution de l'analyse. Si vous spécifiez un nom de table existante, la protection des données sensibles y ajoute les résultats d'analyse.

Lorsque des données sont écrites dans une table BigQuery, la facturation et l'utilisation des quotas sont appliquées au projet contenant la table de destination.

Si vous n'enregistrez pas les résultats dans BigQuery, ils ne contiennent que des statistiques sur le nombre et les infoTypes des résultats.

Publier dans Pub/Sub

Publiez une notification contenant le nom de la tâche de protection des données sensibles en tant qu'attribut d'un canal Pub/Sub. Vous pouvez spécifier un ou plusieurs sujets auxquels envoyer le message de notification. Assurez-vous que le compte de service Sensitive Data Protection qui exécute la tâche d'analyse dispose d'un accès en publication sur le sujet.

En cas de problèmes de configuration ou d'autorisation avec le sujet Pub/Sub, la protection des données sensibles réessaie d'envoyer la notification Pub/Sub pendant deux semaines maximum. Au bout de deux semaines, la notification est supprimée.

Publier dans Security Command Center

Publier un résumé des résultats de la tâche dans Security Command Center. Pour en savoir plus, consultez la section Envoyer les résultats d'analyse Sensitive Data Protection à Security Command Center.

Publier dans Dataplex

Envoyez les résultats de la tâche à Dataplex, le service de gestion des métadonnées de Google Cloud.

Avertir par e-mail

Envoyer un e-mail une fois la tâche terminée L'e-mail est envoyé aux propriétaires de projets IAM et aux contacts essentiels techniques.

Publier sur Cloud Monitoring

Envoyez les résultats d'inspection à Cloud Monitoring dans Google Cloud Observability.

Créer une copie anonymisée

Anonymisez tous les résultats des données inspectées, puis écrivez le contenu anonymisé dans un nouveau fichier. Vous pouvez ensuite utiliser la copie anonymisée dans vos processus métier, à la place des données contenant des informations sensibles. Pour en savoir plus, consultez Créer une copie anonymisée des données Cloud Storage à l'aide de la protection des données sensibles dans la console Google Cloud.

Opérations compatibles

Le tableau suivant présente les opérations de protection des données sensibles et l'emplacement de chaque action.

Action Inspection BigQuery Inspection de Cloud Storage Inspection de Datastore Inspection hybride Analyse des risques Découverte (profilage des données)
Publier dans Google Security Operations
Enregistrer les résultats dans BigQuery
Publier dans Pub/Sub
Publier dans Security Command Center
Publier dans Dataplex (Data Catalog)
Avertir par e-mail
Publier sur Cloud Monitoring
Anonymiser les résultats

Spécifier des actions

Vous pouvez spécifier une ou plusieurs actions lorsque vous configurez la protection des données sensibles:

  • Lorsque vous créez une tâche d'inspection ou d'analyse des risques à l'aide de Sensitive Data Protection dans la console Google Cloud, spécifiez des actions dans la section Ajouter des actions du workflow de création de la tâche.
  • Lorsque vous configurez une nouvelle requête de tâche à envoyer à l'API DLP, vous pouvez spécifier des actions dans l'objet Action.

Pour obtenir plus d'informations et des exemples de code dans plusieurs langages, consultez les sections suivantes :

Exemple de scénario d'action

Vous pouvez utiliser les actions de protection des données sensibles pour automatiser les processus en fonction des résultats des analyses effectuées avec la protection des données sensibles. Supposons que vous partagez une table BigQuery avec un partenaire externe. Vous voulez vous assurer que cette table ne contient aucun identifiant sensible, par exemple des numéros de sécurité sociale américains (l'infoType US_SOCIAL_SECURITY_NUMBER), et que, si vous en trouvez, l'accès est révoqué pour le partenaire. Voici un exemple de workflow utilisant des actions :

  1. Créez un déclencheur de tâche Sensitive Data Protection qui lancera une analyse d'inspection de la table BigQuery toutes les 24 heures.
  2. Définissez l'action suivante pour ces tâches : publier une notification Pub/Sub dans le sujet "projects/foo/scan_notifications".
  3. Créez une fonction Cloud qui écoute les messages entrants sur "projects/foo/scan_notifications". Cette fonction Cloud reçoit le nom de la tâche de protection des données sensibles toutes les 24 heures. Ensuite, elle appelle la protection des données sensibles pour obtenir un récapitulatif des résultats de la tâche. Si elle détecte des numéros de sécurité sociale, la fonction Cloud peut modifier des paramètres dans BigQuery ou IAM (Identity and Access Management) pour restreindre l'accès à la table.

Étape suivante