Sensitive Data Protection「動作」是指作業成功完成後發生的事情,如果是電子郵件,則是指發生錯誤時發生的事情。舉例來說,您可以將發現項目儲存到 BigQuery 表格、向 Pub/Sub 主題發布通知,或在作業順利完成或因錯誤停止時傳送電子郵件。
可執行的動作
執行 Sensitive Data Protection 工作時,系統預設會將結果摘要儲存在 Sensitive Data Protection 中。您可以使用 Google Cloud 控制台中的 Sensitive Data Protection 查看這份摘要。您也可以使用 projects.dlpJobs.get 方法,在 DLP API 中擷取作業的摘要資訊。
Sensitive Data Protection 支援不同類型的動作,具體取決於執行的作業類型。支援的動作如下:
將發現項目儲存至 BigQuery
將 Sensitive Data Protection 工作結果儲存至 BigQuery 資料表。您必須先確認工作已經完成,才能查看或分析結果。
每次執行掃描時,Sensitive Data Protection 都會將掃描結果儲存到您指定的 BigQuery 資料表。匯出的發現項目包含每個發現項目位置與相符可能性的詳細資料。如要讓每個發現項目都包含與 infoType 偵測工具相符的字串,請啟用「包含引號」選項。
如果您未指定表格 ID,BigQuery 會在首次執行掃描作業時,為新表格指派預設名稱。如果您指定現有的資料表,Sensitive Data Protection 會將掃描結果附加至該資料表。
將資料寫入 BigQuery 資料表時,費用與配額用量會計入目的地資料表所屬專案。
如未將發現項目儲存至 BigQuery,掃描結果只會包含與發現項目的數量和 infoType 相關的統計資料。
發布至 Pub/Sub
將含有機密資料保護工作名稱的通知發布至 Pub/Sub 管道。您可以指定一或多個主題,將通知訊息傳送至這些主題。請確認執行掃描工作的 Sensitive Data Protection 服務帳戶具備主題的發布存取權。
如果 Pub/Sub 主題有設定或權限問題,資訊保護服務最多會重試傳送 Pub/Sub 通知兩週。兩週後,系統會捨棄通知。
發布至 Security Command Center
將作業結果摘要發布至 Security Command Center。詳情請參閱「將 Sensitive Data Protection 掃描結果傳送至 Security Command Center」。
發布到 Data Catalog
將工作結果傳送至 Data Catalog。這項功能已淘汰。
電子郵件通知
作業完成時傳送電子郵件。電子郵件會傳送給 IAM 專案擁有者和技術重要聯絡人。
發布至 Cloud Monitoring
將檢查結果傳送至 Google Cloud Observability 中的 Cloud Monitoring。
建立去識別化副本
將檢查資料中的所有發現項目去識別化,然後將去識別化的內容寫入新檔案。然後在業務程序中使用去識別化副本,取代含有私密資訊的資料。詳情請參閱使用Google Cloud 控制台中的 Sensitive Data Protection,建立 Cloud Storage 資料的去識別化副本。
支援的作業
下表列出 Sensitive Data Protection 作業,以及各項動作的適用位置。
| 動作 | BigQuery 檢查 | Cloud Storage 檢查 | 檢查 Datastore | 混合式檢查 | 風險分析 | 探索 (資料剖析) |
|---|---|---|---|---|---|---|
| 發布至 Google Security Operations | ✓ | |||||
| 將發現項目儲存至 BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 發布至 Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 發布至 Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
| 發布到 Data Catalog (已淘汰) | ✓ | ✓ | ||||
| 發布至 Dataplex Universal Catalog | ✓ | |||||
| 電子郵件通知 | ✓ | ✓ | ✓ | ✓ | ✓ | |
| 發布至 Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
| 將發現項目去識別化 | ✓ |
指定動作
設定 Sensitive Data Protection 時,您可以指定一或多個動作:
- 使用 Google Cloud 控制台中的 Sensitive Data Protection 建立新的檢查或風險分析工作時,請在工作建立工作流程的「新增動作」部分指定動作。
- 設定要傳送至 DLP API 的新工作要求時,請在
Action物件中指定動作。
如需更多資訊和多種語言的程式碼範例,請參閱:
動作情境範例
您可以根據 Sensitive Data Protection 掃描結果,使用 Sensitive Data Protection 動作自動執行程序。假設您有一個與外部合作夥伴共用的 BigQuery 表格,並且想要確保這個資料表沒有包含美國社會安全號碼 (infoType US_SOCIAL_SECURITY_NUMBER) 等任何機密識別碼;而且如果發現任何這類機密資料,即撤銷合作夥伴的存取權。以下是會使用動作的工作流程概要:
- 建立 Sensitive Data Protection 工作觸發條件,每隔 24 小時針對 BigQuery 表格執行一次檢查掃描。
- 設定這些工作的動作,將 Pub/Sub 通知發布至「projects/foo/scan_notifications」主題。
- 建立 Cloud 函式,以接聽「projects/foo/scan_notifications」的傳入訊息。這個 Cloud 函式會每隔 24 小時接收一次 Sensitive Data Protection 工作的名稱,並呼叫 Sensitive Data Protection 以取得此工作的摘要結果。如果發現任何美國社會安全號碼,即會在 BigQuery 或 Identity and Access Management (IAM) 中變更設定來限制資料表的存取權。
後續步驟
- 瞭解檢查工作可執行的動作。
- 瞭解風險分析作業可執行的動作。