IAM-Zugriff basierend auf der Datensensibilität steuern

Auf dieser Seite wird beschrieben, wie Sie den IAM-Zugriff (Identity and Access Management) auf Ressourcen automatisch gewähren oder verweigern, basierend auf der Vertraulichkeit der Daten in diesen Ressourcen.

Sie können den Sensitive Data Protection-Erkennungsdienst so konfigurieren, dass Ressourcen automatisch Tags zugewiesen werden, die auf den berechneten Vertraulichkeitsstufen dieser Ressourcen basieren. Anschließend können Sie IAM-Bedingungen verwenden, um den Zugriff auf eine Ressource basierend auf dem Vorhandensein oder Fehlen eines Tag-Schlüssels oder Tag-Werts für die Vertraulichkeitsstufe zu gewähren oder zu verweigern.

Angenommen, das Datenteam Ihrer Organisation soll BigQuery-Daten im Rahmen seiner täglichen Arbeit frei kopieren und freigeben können. Sie wissen jedoch nicht, ob diese Daten personenidentifizierbare Informationen Ihrer Kunden enthalten. Sie können Discovery ausführen, um die Vertraulichkeitsstufen Ihrer BigQuery-Daten zu klassifizieren. Gewähren Sie dem Datenteam dann bedingten Zugriff, sodass es nur auf BigQuery-Tabellen mit Daten mit geringer Sensibilität zugreifen kann.

Weitere Informationen dazu, wie der Schutz sensibler Daten die Datenvertraulichkeit berechnet, finden Sie unter Datenrisiko- und Vertraulichkeitsstufen.

Weitere Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf Ressourcen finden Sie in der IAM-Dokumentation unter Tags und bedingter Zugriff. Allgemeine Informationen zu Tags finden Sie in der Resource Manager-Dokumentation unter Tags – Übersicht.

Tag für die Empfindlichkeitsstufe

In diesem Dokument wird der Begriff Vertraulichkeitsstufen-Tag für ein Tag verwendet, das Sie automatisch an eine Ressource anhängen, um die berechnete Vertraulichkeitsstufe der Daten in dieser Ressource anzugeben.

Vorteile

Mit dieser Funktion haben Sie folgende Möglichkeiten:

• Automatisieren Sie die Zugriffssteuerung für verschiedene unterstützte Ressourcen basierend auf Attributen und Klassifizierungen der Daten in diesen Ressourcen. Mithilfe von Automatisierung können Sie mit dem Wachstum und den Änderungen der Daten in Ihrer Organisation, Ihren Ordnern und Ihren Projekten Schritt halten.
• Den Zugriff auf die unterstützten Ressourcen einschränken, bis diese von Sensitive Data Protection profiliert und klassifiziert wurden. Diese Vorgehensweise entspricht dem Prinzip standardmäßig sicher.
• Konfigurieren Sie die Erkennung so, dass der Tag-Wert für die Vertraulichkeitsstufe bei jeder Profilerstellung Ihrer Daten aktualisiert wird. Der Zugriff eines Principals auf eine Ressource ändert sich daher automatisch, wenn sich die berechnete Datenvertraulichkeitsstufe für diese Ressource ändert.
• Konfigurieren Sie die Erkennung so, dass das berechnete Datenrisiko einer Ressource gesenkt wird, wenn bei der Erkennung festgestellt wird, dass ein Vertraulichkeits-Tag für diese Ressource vorhanden ist. Mit dieser Option können Sie die Verbesserung Ihrer Datensicherheit und Ihres Datenschutzes messen.

Unterstützte Ressourcen

Mit dieser Funktion werden Daten durch Sensitive Data Protection automatisch auf den folgenden Ebenen getaggt:

• BigQuery-Tabellen
• Cloud SQL-Instanzen
• Cloud Storage-Buckets

Funktionsweise

Im Folgenden finden Sie einen allgemeinen Workflow zum Steuern des Zugriffs auf Ressourcen basierend auf der Datenvertraulichkeit. Diese Aufgaben müssen nicht von derselben Person ausgeführt werden.

1. Tag für Vertraulichkeitsstufe erstellen
2. Bedingten Zugriff auf Ressourcen basierend auf dem Wert des Tags für die Vertraulichkeitsstufe gewähren
3. Automatisches Tagging in der Discovery-Konfiguration aktivieren
4. Dienst-Agent die Berechtigung zum Anhängen des Tags für die Vertraulichkeitsstufe an Ressourcen gewähren

Erforderliche Berechtigungen

Welche Berechtigungen Sie benötigen, hängt von der auszuführenden Aktion ab.

Um diese Berechtigungen zu erhalten, bitten Sie Ihren Administrator, die vorgeschlagene Rolle auf der entsprechenden Ebene der Ressourcenhierarchie zu gewähren.

Berechtigungen zum Verwalten von Tags

Weitere Informationen finden Sie in der Resource Manager-Dokumentation unter Tags verwalten.

Berechtigungen zum Gewähren von bedingtem Zugriff auf Ressourcen

Weitere Informationen finden Sie in der IAM-Dokumentation unter Erforderliche Rollen.

Berechtigungen zum Konfigurieren der Erkennung

Weitere Informationen finden Sie unter Rollen, die zum Konfigurieren und Aufrufen von Datenprofilen erforderlich sind.

Tag für die Vertraulichkeitsstufe erstellen

In dieser Aufgabe erstellen Sie einen Tag-Schlüssel mit Tag-Werten, die den Vertraulichkeitsstufen für Daten entsprechen, die von Sensitive Data Protection zum Klassifizieren Ihrer Daten verwendet werden. Sie können beispielsweise den folgenden Tag-Schlüssel und die folgenden Tag-Werte verwenden.

1. Legen Sie den Tag-Schlüssel auf sensitivity-level fest.

2. Legen Sie die folgenden Tag-Werte fest:

   low

   Tag-Wert, der an Daten mit geringer Vertraulichkeit angehängt werden soll

   moderate

   Tag-Wert, der an Daten mit mittlerer Vertraulichkeit angehängt werden soll

   high

   Tag-Wert, der an Daten mit hoher Vertraulichkeit angehängt werden soll

   Sie können auch einen Tag-Wert für Ressourcen mit unbekannter Vertraulichkeitsstufe erstellen. Alternativ können Sie die Tag-Werte low, medium oder high für diese Ressourcen wiederverwenden.

3. Beachten Sie Folgendes. Sie benötigen diese Informationen in der nächsten Aufgabe:

   • Tag-Schlüssel-ID, z. B. tagKeys/281478077849901
   • Tag-Schlüsselwerte, z. B. tagValues/281479490918432
   • Tag-Wert-Pfade, z. B. example-project/tag-key/tag-value1

In diesem Beispiel wird der Einfachheit halber eine Eins-zu-eins-Zuordnung zwischen einem Tag-Wert und einer Sensitivitätsstufe festgelegt. In der Praxis können Sie die Tag-Werte an Ihre geschäftlichen Anforderungen anpassen. Sie können beispielsweise Werte wie confidential, PII oder SPII (vertrauliche personenbezogene Daten) verwenden.

Die Erkennung sensibler Daten kann auf Organisations-, Ordner- und Projektebene konfiguriert werden. Wenn Sie dieses Tag für die Ermittlung auf Organisations- oder Ordnerebene verwenden möchten, empfehlen wir, es auf Organisationsebene zu erstellen.

Informationen zum Erstellen eines Tags finden Sie in der Resource Manager-Dokumentation unter Tags erstellen und verwalten.

Bedingten Zugriff auf Ressourcen basierend auf dem Wert des Tags für die Vertraulichkeitsstufe gewähren

In dieser Aufgabe weisen Sie einem Hauptkonto nur dann eine Rolle zu, wenn das Tag für die Vertraulichkeitsstufe, das der Ressource zugewiesen ist, einen bestimmten Wert hat. Sie können einem Prinzipal beispielsweise Zugriff nur auf Daten mit den Tag-Werten moderate und low gewähren.

In diesem Abschnitt finden Sie Beispielbedingungen, die für die Verwendung mit dem Bedingungseditor formatiert sind. Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Ausdrucks mit der CEL-Syntax. Informationen zum Anhängen von IAM-Bedingungen an Rollenbindungen finden Sie in der IAM-Dokumentation unter Bedingte Rollenbindungen verwalten.

Diese Beispiele folgen dem Tagging-Modell, das auf dieser Seite unter Tag für Vertraulichkeitsstufe erstellen definiert ist.

Hauptkonten nur Zugriff auf Daten mit geringer Sensibilität gewähren

In diesem Beispiel gewähren Sie Zugriff auf eine Ressource, wenn sie nur Daten mit geringer Sensibilität enthält. Sie können dieses Beispiel auch verwenden, um den gesamten Zugriff auf die Ressource einzuschränken, bis die Erkennung sensibler Daten für diese Ressource ausgeführt wurde.

resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY",
"tagValues/TAG_VALUE_FOR_LOW_SENSITIVITY")

Ersetzen Sie Folgendes:

• SENSITIVITY_LEVEL_TAG_KEY: Die numerische ID des Tag-Schlüssels für die Vertraulichkeitsstufe, den Sie erstellt haben
• TAG_VALUE_FOR_LOW_SENSITIVITY: die numerische ID des Tag-Werts, den Sie für Daten mit geringer Sensibilität erstellt haben

Hauptkonten nur Zugriff auf Daten mit mittlerer und geringer Sensibilität gewähren

In diesem Beispiel gewähren Sie Zugriff auf eine Ressource, wenn sie nur Daten mit mittlerer oder geringer Vertraulichkeit enthält. Beachten Sie, dass zwischen den beiden Bedingungen der Operator OR steht.

resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY", "tagValues/TAG_VALUE_FOR_LOW_SENSITIVITY") ||
resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY", "tagValues/TAG_VALUE_FOR_MODERATE_SENSITIVITY")

Ersetzen Sie Folgendes:

• SENSITIVITY_LEVEL_TAG_KEY: Die numerische ID des Tag-Schlüssels für die Vertraulichkeitsstufe, den Sie erstellt haben
• TAG_VALUE_FOR_LOW_SENSITIVITY: die numerische ID des Tag-Werts, den Sie für Daten mit geringer Sensibilität erstellt haben
• TAG_VALUE_FOR_MODERATE_SENSITIVITY: die numerische ID des Tag-Werts, den Sie für Daten mit mittlerer Sensibilität erstellt haben

Hauptkonten nur dann Zugriff gewähren, wenn das Tag für die Vertraulichkeitsstufe vorhanden ist

Das ist beispielsweise nützlich, wenn Sie eine Organisationsrichtlinie definieren möchten, die erfordert, dass der gesamte IAM-Zugriff bedingt ist und auf dem Vorhandensein eines Tags für die Vertraulichkeitsstufe basiert. Sie können dieses Beispiel auch verwenden, um den gesamten Zugriff auf die Ressource einzuschränken, bis die Erkennung sensibler Daten für diese Ressource ausgeführt wurde.

resource.hasTagKeyId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY")

Ersetzen Sie SENSITIVITY_LEVEL_TAG_KEY durch die numerische ID des Schlüssel-Tags für die Vertraulichkeitsstufe, das Sie erstellt haben.

Beispiele für Ablehnungsrichtlinien

Informationen zum Erstellen einer Ablehnungsrichtlinie zur Verwendung mit einem Ressourcen-Tag finden Sie unter Struktur einer Ablehnungsrichtlinie. Eine Liste der unterstützten Berechtigungen finden Sie unter Von Ablehnungsrichtlinien unterstützte Berechtigungen.

Zugriff verweigern, wenn kein Sensitivitätslabel vorhanden ist

Im folgenden Auszug einer Ablehnungsrichtlinie wird die Berechtigung bigquery.googleapis.com/tables.get verweigert, wenn die Ressource nicht das Tag für die Vertraulichkeitsstufe hat.

  "rules": [
    {
      "denyRule": {
        "deniedPrincipals": [
          "principalSet://goog/group/data-team@example.com"
        ],
        "deniedPermissions": [
          "bigquery.googleapis.com/tables.get"
        ],
        "denialCondition": {
          "title": "Resource has no key",
          "expression": "!resource.hasTagKeyId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY")"
        }
      }
    }
  ]

Ersetzen Sie SENSITIVITY_LEVEL_TAG_KEY durch die numerische ID des Schlüssel-Tags für die Vertraulichkeitsstufe, das Sie erstellt haben.

Zugriff verweigern, wenn Daten mit mittlerer oder hoher Sensibilität vorhanden sind

Im folgenden Auszug einer Ablehnungsrichtlinie wird die Berechtigung bigquery.googleapis.com/tables.get verweigert, wenn die Ressource Daten mit mittlerer oder hoher Vertraulichkeit enthält.

  "rules": [
    {
      "denyRule": {
        "deniedPrincipals": [
          "principalSet://goog/group/data-team@example.com"
        ],
        "deniedPermissions": [
          "bigquery.googleapis.com/tables.get"
        ],
        "denialCondition": {
          "title": "Resource has moderate or high data sensitivity",
          "expression": "resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY", "tagValues/TAG_VALUE_FOR_MODERATE_SENSITIVITY") || resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY", "tagValues/TAG_VALUE_FOR_HIGH_SENSITIVITY")"
        }
      }
    }
  ]

Ersetzen Sie Folgendes:

• SENSITIVITY_LEVEL_TAG_KEY: Die numerische ID des Tag-Schlüssels für die Vertraulichkeitsstufe, den Sie erstellt haben
• TAG_VALUE_FOR_MODERATE_SENSITIVITY: die numerische ID des Tag-Werts, den Sie für Daten mit mittlerer Sensibilität erstellt haben
• TAG_VALUE_FOR_HIGH_SENSITIVITY: die numerische ID des Tag-Werts, den Sie für Daten mit hoher Sensibilität erstellt haben

Automatisches Tagging in der Erkennungskonfiguration aktivieren

In dieser Aufgabe aktivieren Sie die Aktion Ressourcen taggen. Durch diese Aktion wird Sensitive Data Protection angewiesen, Ihre Daten automatisch entsprechend der berechneten Vertraulichkeitsstufe zu taggen. Sie führen diese Aufgabe aus, wenn Sie eine Konfiguration für die Suche erstellen oder bearbeiten.

So lassen Sie eine Ressource automatisch anhand der berechneten Vertraulichkeitsstufe taggen:

1. Aktivieren Sie die Option Ressourcen taggen.

2. Geben Sie für jede Empfindlichkeitsstufe (hoch, mittel, niedrig und unbekannt) den Pfad des Tag-Werts ein, den Sie für die jeweilige Empfindlichkeitsstufe erstellt haben.

   Wenn Sie eine Vertraulichkeitsstufe überspringen, wird kein Tag dafür angehängt.

3. Wenn Sie das Datenrisiko einer Ressource automatisch auf NIEDRIG senken möchten, wenn das Tag für die Vertraulichkeitsstufe vorhanden ist, wählen Sie Beim Anwenden eines Tags auf eine Ressource das Datenrisiko ihres Profils auf NIEDRIG setzen aus. Mit dieser Option können Sie die Verbesserung Ihrer Daten- und Datenschutzmaßnahmen messen.

4. Wählen Sie eine oder beide der folgenden Optionen aus:

   • Ressource taggen, wenn zum ersten Mal ein Profil für sie erstellt wird.

   • Ressource taggen, wenn ihr Profil aktualisiert wird. Wählen Sie diese Option aus, wenn das Tag für die Vertraulichkeitsstufe bei nachfolgenden Erkennungsvorgängen durch Sensitive Data Protection überschrieben werden soll. Daher ändert sich der Zugriff eines Principals auf eine Ressource automatisch, wenn sich der berechnete Datensensibilitätsgrad für diese Ressource erhöht oder verringert.

     Wählen Sie diese Option nicht aus, wenn Sie die Tag-Werte für die Vertraulichkeitsstufe, die der Ermittlungsdienst Ihren Ressourcen zuordnet, manuell aktualisieren möchten. Wenn Sie diese Option auswählen, können Ihre manuellen Aktualisierungen von Sensitive Data Protection überschrieben werden.

Die Erkennung sensibler Daten kann auf Organisations-, Ordner- und Projektebene konfiguriert werden. Wenn Sie dieses Sensitivitätslabel für die Erkennung auf Organisationsebene verwenden möchten und nicht möchten, dass die Tag-Werte, die durch die Erkennung auf Organisationsebene festgelegt werden, durch Erkennungsvorgänge auf Projektebene überschrieben werden, muss sichergestellt werden, dass nur der Dienst-Agent der Erkennungskonfiguration auf Organisationsebene dieses Tag an Ressourcen anhängen kann. Informationen zum Zuweisen einer Rolle auf Tag-Ebene finden Sie in der Resource Manager-Dokumentation unter Zugriff auf Tags verwalten.

Fehler beheben

In diesem Abschnitt werden Fehler beschrieben, die bei der Verwendung dieser Funktion auftreten können, und es wird erläutert, wie Sie diese Fehler beheben.

Maximale Anzahl von Tags überschritten

An jede Ressource können maximal 50 Schlüssel/Wert-Paare angehängt werden. Wenn Sie versuchen, eine Ressource zu taggen, die bereits die maximale Anzahl von Tags hat, schlägt die Profilerstellung fehl. Sie erhalten die folgende Fehlermeldung:

The resource RESOURCE_NAME cannot be tagged because there are
too many existing tags bound to the resource. You can either disable automatic
tagging or delete at least one tag binding from the resource.

Trennen Sie ein Tag von der Ressource, um dieses Problem zu beheben. Hier finden Sie weitere Informationen:

• BigQuery: Tags von einer Tabelle trennen
• Cloud SQL for MySQL: Tags von Cloud SQL-Instanzen trennen
• Cloud SQL for PostgreSQL: Tags von Cloud SQL-Instanzen trennen
• Cloud Storage: Beispiele zum Anhängen von Tags an oder zum Entfernen von Tags aus einem Cloud Storage-Bucket

Alternativ können Sie die Aktion Ressourcen taggen in der Konfiguration des Erkennungsscans deaktivieren.

Ein Tag-Wert wurde gelöscht oder umbenannt und Discovery hat versucht, ihn an eine Ressource anzuhängen.

Wenn ein Tag-Wert für das Tag „Vertraulichkeitsstufe“ gelöscht oder umbenannt wird und der Schutz sensibler Daten versucht, diesen Tag-Wert an eine profilierte Ressource anzuhängen, wird der folgende Fehler angezeigt:

Tag value TAG_VALUE not found, it has possibly been either deleted or renamed.

Führen Sie einen der folgenden Schritte aus, um das Problem zu lösen:

• Wenn das Tag gelöscht wurde, erstellen Sie den gelöschten Tag-Wert neu. Achten Sie darauf, dass der neu erstellte Tag-Wert mit dem Tag-Wert übereinstimmt, auf den in der Konfiguration für den Discovery-Scan verwiesen wird. Weitere Informationen finden Sie auf dieser Seite unter Tag für Vertraulichkeitsstufe erstellen.
• Wenn der Tag-Wert umbenannt wurde, aktualisieren Sie die Konfiguration des Discovery-Scans, damit der neue Name des Tag-Werts verwendet wird.

Dem Dienst-Agent fehlen Berechtigungen

Wenn der Dienst-Agent nicht die Berechtigungen hat, die zum Anhängen des Tags für die Vertraulichkeitsstufe an die profilierten Ressourcen erforderlich sind, wird der folgende Fehler angezeigt:

The DLP service account SERVICE_AGENT_NAME is missing
permissions needed for attaching tags to resources. Check that the role
'resourcemanager.tagUser' is granted to the DLP service account.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Rufen Sie die Dienst-Agent-ID ab, die mit Ihrer Konfiguration für den Discovery-Scan verknüpft ist:

   1. Rufen Sie die Liste der Erkennungsscankonfigurationen auf.

      Zu den Konfigurationen für Erkennungsscans

   2. Wählen Sie in der Symbolleiste Ihre Organisation aus.
   3. Wählen Sie Ihre Scankonfiguration aus.
   4. Kopieren Sie auf der Seite Details zur Scan-Konfiguration den Wert des Felds Service-Agent. Die Dienst-Agent-ID hat das Format einer E-Mail-Adresse.

2. Weisen Sie dem Dienst-Agent die Rolle „Tag-Nutzer“ (roles/resourcemanager.tagUser) für das Tag für die Vertraulichkeitsstufe zu.

   Alternativ können Sie eine benutzerdefinierte Rolle für das Tag für die Vertraulichkeitsstufe zuweisen. Die benutzerdefinierte Rolle muss die Berechtigung resourcemanager.tagValues.get und ressourcenspezifische Berechtigungen zum Verwalten von Tag-Bindungen haben. Sie benötigen die ressourcenspezifischen Berechtigungen createTagBinding, deleteTagBinding und listEffectiveTags. Für BigQuery-Tabellen benötigen Sie beispielsweise Folgendes:

   • resourcemanager.tagValues.get
   • bigquery.tables.createTagBinding
   • bigquery.tables.deleteTagBinding
   • bigquery.tables.listEffectiveTags

   Informationen zum Zuweisen einer Rolle auf Tag-Ebene finden Sie in der Resource Manager-Dokumentation unter Zugriff auf Tags verwalten.

Nächste Schritte

• Erstellen oder bearbeiten Sie eine Scankonfiguration.