Azioni

Un'azione Sensitive Data Protection si verifica dopo il completamento corretto di un'operazione o, nel caso delle email, in caso di errore. Ad esempio, puoi memorizzare i risultati in una tabella BigQuery, pubblicare una notifica in un argomento Pub/Sub o inviare un'email quando un'operazione termina correttamente o si arresta in caso di errore.

Azioni disponibili

Quando esegui un job di Sensitive Data Protection, un riepilogo dei risultati viene salvato per impostazione predefinita in Sensitive Data Protection. Puoi visualizzare questo riepilogo utilizzando Sensitive Data Protection nella console Google Cloud. Per i job, puoi anche recuperare informazioni di riepilogo nell'API DLP utilizzando il metodo projects.dlpJobs.get.

Sensitive Data Protection supporta diversi tipi di azioni a seconda del tipo di operazione eseguita. Di seguito sono riportate le azioni supportate.

Salvare i risultati in BigQuery

Salva i risultati del job Sensitive Data Protection in una tabella BigQuery. Prima di visualizzare o analizzare i risultati, assicurati che il job sia stato completato.

Ogni volta che viene eseguita una scansione, Sensitive Data Protection salva i risultati della scansione nella tabella BigQuery specificata. I risultati esportati contengono dettagli sulla posizione e sulla probabilità di corrispondenza di ogni risultato. Se vuoi che ogni risultato includa la stringa corrispondente al rilevatore infoType, attiva l'opzione Includi virgolette.

Se non specifichi un ID tabella, BigQuery assegna un nome predefinito a una nuova tabella la prima volta che viene eseguita la scansione. Se specifichi una tabella esistente, Sensitive Data Protection vi aggiunge i risultati della scansione.

Quando i dati vengono scritti in una tabella BigQuery, la fatturazione e l'utilizzo delle quote vengono applicati al progetto che contiene la tabella di destinazione.

Se non salvi i risultati in BigQuery, i risultati della scansione conterranno solo le statistiche sul numero e sugli infoType dei risultati.

Pubblica in Pub/Sub

Pubblica una notifica contenente il nome del job di protezione dei dati sensibili come attributo per un canale Pub/Sub. Puoi specificare uno o più argomenti a cui inviare il messaggio di notifica. Assicurati che l'account di servizio Sensitive Data Protection che esegue il job di scansione abbia accesso in pubblicazione all'argomento.

Se si verificano problemi di configurazione o autorizzazione con l'argomento Pub/Sub, la Protezione dei dati sensibili riprova a inviare la notifica Pub/Sub per un massimo di due settimane. Dopo due settimane, la notifica viene eliminata.

Pubblica su Security Command Center

Pubblica un riepilogo dei risultati del job in Security Command Center. Per ulteriori informazioni, consulta Inviare i risultati della scansione di Sensitive Data Protection a Security Command Center.

Pubblica in Dataplex

Invia i risultati del job a Dataplex, il servizio di gestione dei metadati di Google Cloud.

Notifica via email

Invia un'email al termine del job. L'email viene inviata ai proprietari del progetto IAM e ai Contatti fondamentali tecnici.

Pubblica su Cloud Monitoring

Invia i risultati dell'ispezione a Cloud Monitoring in Google Cloud Observability.

Crea una copia anonimizzata

Anonimizza tutti i risultati nei dati ispezionati e scrivi i contenuti anonimizzati in un nuovo file. Potrai quindi utilizzare la copia anonimizzata nelle tue procedure aziendali al posto dei dati contenenti informazioni sensibili. Per ulteriori informazioni, consulta Creare una copia anonimizzata dei dati di Cloud Storage utilizzando Sensitive Data Protection nella console Google Cloud.

Operazioni supportate

La tabella seguente mostra le operazioni di Sensitive Data Protection e dove è disponibile ogni azione.

Azione Ispezione BigQuery Ispezione di Cloud Storage Ispezione del Datastore Ispezione ibrida Analisi del rischio Discovery (profiling dei dati)
Pubblica in Google Security Operations
Salvare i risultati in BigQuery
Pubblica in Pub/Sub
Pubblica su Security Command Center
Pubblica in Dataplex (Data Catalog)
Notifica via email
Pubblica su Cloud Monitoring
Anonimizza i risultati

Specifica le azioni

Quando configuri una protezione dei dati sensibili, puoi specificare una o più azioni:

  • Quando crei un nuovo job di ispezione o analisi dei rischi utilizzando Sensitive Data Protection nella console Google Cloud, specifica le azioni nella sezione Aggiungi azioni del flusso di lavoro di creazione del job.
  • Quando configuri una nuova richiesta di job da inviare all'API DLP, specifica le azioni nell'oggetto Action.

Per ulteriori informazioni e codice campione in diversi linguaggi, consulta:

Scenario di azioni di esempio

Puoi utilizzare le azioni di Sensitive Data Protection per automatizzare le procedure in base ai risultati dell'analisi di Sensitive Data Protection. Supponiamo di avere una tabella BigQuery condivisa con un partner esterno. Devi assicurarti che questa tabella non contenga identificatori sensibili come i numeri di previdenza sociale degli Stati Uniti (infoType US_SOCIAL_SECURITY_NUMBER) e che, se ne trovi, l'accesso venga revocato al partner. Ecco un'idea approssimativa di un flusso di lavoro che utilizza le azioni:

  1. Crea un attivatore del job Sensitive Data Protection per eseguire una scansione di ispezione della tabella BigQuery ogni 24 ore.
  2. Imposta l'azione di questi job in modo da pubblicare una notifica Pub/Sub nell'argomento "projects/foo/scan_notifications".
  3. Crea una funzione Cloud che ricerchi i messaggi in arrivo su "projects/foo/scan_notifications". Questa funzione Cloud riceverà il nome del job Sensitive Data Protection ogni 24 ore, chiamerà Sensitive Data Protection per ottenere i risultati di riepilogo di questo job e, se trova numeri di previdenza sociale, potrà modificare le impostazioni in BigQuery o Identity and Access Management (IAM) per limitare l'accesso alla tabella.

Passaggi successivi