このトピックでは、機密データ保護の検査ジョブの作成方法と、ジョブトリガーを作成して定期的な検査ジョブのスケジュールを設定する方法について詳しく説明します。機密データの保護 UI を使用して新しいジョブトリガーを作成する方法の簡単なチュートリアルについては、クイックスタート: 機密データの保護のジョブトリガーの作成をご覧ください。
検査ジョブとジョブトリガーの概要
機密データの保護が検査スキャンを実行して機密データを識別する場合、各スキャンはジョブとして実行されます。Cloud Storage バケット、BigQuery テーブル、Datastore の種類、外部データなど、Google Cloud Storage リポジトリを検査するように指示するたびに、機密データの保護はジョブリソースを作成して実行します。
機密データの保護の検査スキャンジョブをスケジュールするには、ジョブトリガーを作成します。ジョブトリガーは、機密データの保護ジョブの定期的な作成を自動化します。また、オンデマンドで実行することもできます。
機密データの保護のジョブとジョブトリガーの詳細については、ジョブとジョブトリガーのコンセプト ページをご覧ください。
新しい検査ジョブの作成
新しい機密データの保護の検査ジョブを作成するには:
コンソール
Google Cloud Console の [機密データ保持] セクションで、[ジョブまたはジョブトリガーを作成] ページに移動します。
[ジョブまたはジョブトリガーを作成] ページには、次のセクションがあります。
入力データを選択
名前
ジョブの名前を入力します。文字、数字、ハイフンを使用できます。ジョブの名前は省略可能です。名前を入力しない場合、機密データの保護によってジョブに一意の番号 ID が割り当てられます。
ロケーション
[ストレージの種類] メニューで、スキャンするデータが保存されているリポジトリの種類を選択します。
- Cloud Storage: スキャンするバケットの URL を入力します。または、[ロケーション タイプ] メニューから [含める / 含めない] を選択した後、[BROWSE] をクリックしてスキャン対象のバケットまたはサブフォルダに移動します。指定したディレクトリとそこに含まれるすべてのディレクトリをスキャンするには、[フォルダを再帰的にスキャンする] チェックボックスをオンにします。下位ディレクトリを対象にせず、指定したディレクトリだけをスキャンする場合は、このチェックボックスはオフのままにします。
- BigQuery: スキャンするプロジェクト、データセット、テーブルの識別子を入力します。
- Datastore: スキャンするプロジェクト、名前空間(省略可能)、種類の識別子を入力します。
- ハイブリッド: 必要なラベル、オプションのラベル、表形式のデータを処理するオプションを追加できます。詳細については、提供できるメタデータのタイプをご覧ください。
サンプリング
サンプリングは、大量のデータがある場合にリソースを節約するオプションの方法です。
[サンプリング] では、選択したすべてのデータをスキャンするか、特定の割合のデータだけをスキャンしてサンプリングを行うかを選択できます。サンプリングは、スキャンするストレージ リポジトリの種類によって動作が異なります。
- BigQuery の場合、スキャンに含めるように指定したファイルの割合に応じて、選択された合計行数のサブセットをサンプリングします。
- Cloud Storage の場合、[1 ファイルあたりのスキャンの最大バイト数] で指定したサイズを超えるファイルについては、機密データの保護はその最大サイズまでスキャンしてから次のファイルに進みます。
サンプリングを有効にするには、最初のメニューで、以下のいずれかのオプションを選択します。
- 上からサンプリングを開始する: 機密データの保護は、データの先頭から部分スキャンを開始します。BigQuery の場合、最初の行からスキャンが開始されます。Cloud Storage の場合、各ファイルの先頭からスキャンが開始され、機密データの保護が指定された最大ファイルサイズまでスキャンするとスキャンが停止します。
- ランダム スタートからサンプリングを開始する: 機密データの保護は、データ内のランダムな場所から部分スキャンを開始します。BigQuery の場合、ランダムな行からスキャンが開始されます。Cloud Storage の場合、この設定は、指定された最大サイズを超えるファイルにのみ適用されます。機密データの保護は、最大ファイルサイズ未満のファイルは全体をスキャンし、最大ファイルサイズを超えるファイルは最大サイズまでスキャンします。
部分スキャンを実行するには、データのうち何パーセントをスキャンするかを指定する必要があります。スライダーを使って割合を設定します。
また、スキャンするファイルやレコードを日付で絞り込むことも可能です。方法については、このトピックの後半のスケジュールをご覧ください。
詳細構成
Cloud Storage バケットまたは BigQuery テーブルのスキャンジョブを作成する際に、詳細構成を指定して検索を絞り込むことができます。具体的には、以下を構成できます。
- ファイル(Cloud Storage のみ): スキャンするファイルの種類。テキスト、バイナリ、画像ファイルを含めることができます。
- 識別フィールド(BigQuery のみ): テーブル内で一意の行識別子。
- Cloud Storage の場合、[1 ファイルあたりのスキャンの最大バイト数] で指定したサイズを超えるファイルについては、機密データの保護はその最大サイズまでスキャンしてから次のファイルに進みます。
サンプリングを有効にするには、データのうち何パーセントをスキャンするかを指定する必要があります。スライダーを使って割合を設定します。次に、最初のメニューで、以下のいずれかのオプションを選択します。
- 上からサンプリングを開始する: 機密データの保護は、データの先頭から部分スキャンを開始します。BigQuery の場合、最初の行からスキャンが開始されます。Cloud Storage の場合、各ファイルの先頭からスキャンが開始され、機密データの保護が指定された最大ファイルサイズまでスキャンするとスキャンが停止します(上記参照)。
- ランダム スタートからサンプリングを開始する: 機密データの保護は、データ内のランダムな場所から部分スキャンを開始します。BigQuery の場合、ランダムな行からスキャンが開始されます。Cloud Storage の場合、この設定は、指定された最大サイズを超えるファイルにのみ適用されます。機密データの保護は、最大ファイルサイズ未満のファイルは全体をスキャンし、最大ファイルサイズを超えるファイルは最大サイズまでスキャンします。
ファイル
Cloud Storage に保存されているファイルの場合は、[ファイル] でスキャンに含めるファイルの種類を指定できます。
バイナリ、テキスト、画像、CSV、TSV、Microsoft Word、Microsoft Excel、Microsoft PowerPoint、PDF、Apache Avro ファイルから選択できます。機密データの保護が Cloud Storage バケット内でスキャンできるファイル拡張子の完全なリストについては、FileType
をご覧ください。
[バイナリ] を選択すると、Sensitive Data Protection で認識されない形式のファイルをスキャンできます。
識別フィールド
BigQuery のテーブルの場合、[識別フィールド] フィールドで、クエリ結果にテーブルの主キー列の値を含めるように機密データの保護に指示できます。そうすることで、検出結果を、それらを含むテーブル行にリンクできます。
テーブル内の各行を一意に識別する列の名前を入力します。必要に応じて、ドット表記を使用してネストされたフィールドを指定します。追加できるフィールドの数に制限はありません。
検出結果を BigQuery にエクスポートするには、[BigQuery に保存] アクションも有効にする必要があります。検出結果が BigQuery にエクスポートされると、各検出結果には識別フィールドのそれぞれの値が含まれます。詳細については、identifyingFields
をご覧ください。
検出を構成する
[検出の設定] セクションでは、スキャン対象のセンシティブ データの種類を指定します。このセクションは省略可能です。このセクションをスキップすると、機密データの保護は infoType のデフォルト セットをスキャンします。
テンプレート
必要に応じて、機密データの保護テンプレートを使用して、以前に指定した構成情報を再利用できます。
使用するテンプレートをすでに作成している場合は、[テンプレート名] フィールドをクリックして既存の検査テンプレートのリストを表示します。使用するテンプレートの名前を選択または入力します。
テンプレートの作成について詳しくは、機密データの保護の検査テンプレートの作成をご覧ください。
infoType
infoType 検出器は、特定の型の機密データを検出します。たとえば、機密データの保護に組み込みの US_SOCIAL_SECURITY_NUMBER
を使用した infoType 検出器では、米国の社会保障番号が検出されます。組み込みの infoType 検出器に加えて、独自のカスタム infoType 検出器を作成できます。
[InfoType] で、スキャンするデータ型に対応する infoType 検出器を選択します。このセクションは空白のままにしないことをおすすめします。空白のままにすると、機密データの保護がデフォルトの infoType セットでスキャンを実行します。これには、不要な infoType が含まれる場合があります。各検出器の詳細については、InfoType 検出器リファレンスをご覧ください。
このセクションで説明されている組み込みとカスタムの infoType を管理する方法について詳しくは、Google Cloud コンソールを使用して infoType を管理するをご覧ください。
検査ルールセット
検査ルールセットを使用すると、コンテキスト ルールを使用して、組み込み infoType 検出器とカスタム infoType 検出器の両方をカスタマイズできます。検査ルールには 2 種類あります。
- 除外ルール。誤った検索結果や望ましくない検索結果を除外するのに役立ちます。
- ホットワード ルール。追加の検索結果を検出するのに役立ちます。
新しいルールセットを追加するには、まず [InfoTypes] セクションで、組み込みまたはカスタムの infoType 検出器を 1 つ以上指定します。これらは、ルールセットが変更する infoType 検出器です。次に、以下の操作を行います。
- [infoType を選択] フィールドをクリックします。次のように、以前に指定した infoType がフィールドの下にメニューとして表示されます。
- メニューから infoType を選択し、[ルールを追加] をクリックします。[起動ワードルール] と [除外ルール] の 2 つのオプションが表示されたメニューが表示されます。
ホットワード ルールの場合は、[ホットワード ルール] を選択します。次に、以下の操作を行います。
- [起動ワード] フィールドに、機密データの保護が検索する正規表現を入力します。
- [ホットワードの近接性] メニューで、入力したホットワードが選択した infoType の前に検出されるかどうかを選択します。
- [infoType からの起動ワードの距離] に、起動ワードと選択した infoType との間のおおよその文字数を入力します。
- [信頼度の調整] で、一致に固定の可能性レベルを割り当てるか、デフォルトの可能性レベルを一定の量増減するかを選択します。
除外ルールの場合は、[除外ルール] を選択します。次に、以下の操作を行います。
- [除外] フィールドに、Sensitive Data Protection が検索する正規表現(regex)を入力します。
- [一致タイプ] メニューから、次のいずれかを選択します。
- 完全一致: 検出結果が正規表現と完全に一致している必要があります。
- 部分一致: 検出結果の部分文字列が正規表現と一致する。
- 逆一致: 検出結果が正規表現と一致しません。
ホットワード ルールや除外ルール、ルールセットを追加して、スキャン結果をさらに絞り込むことができます。
信頼度のしきい値
機密データの保護で機密データの一致候補が検出されるたびに、可能性の値が「かなり低い」から「かなり高い」までの尺度で割り当てられます。ここで可能性の値を設定すると、機密データの保護は、その可能性の値以上のデータの一致のみを検出するように指示されます。
「可能性あり」はデフォルト値で、ほとんどの用途に十分対応できます。検出される一致が常に、あまりに広範に及ぶ場合は、スライダーを右に動かしてください。一致が少なすぎる場合は、スライダーを左に動かしてください。
設定が完了したら、[続行] をクリックします。
アクションの追加
[アクションの追加] ステップには、ジョブの完了後に機密データの保護に実行させる 1 つ以上のアクションを選択します。
次のアクションを構成できます。
BigQuery に保存: 機密データの保護ジョブの結果を BigQuery テーブルに保存します。結果を表示または分析する前に、ジョブが完了していることを確認します。
スキャンが実行されるたびに、機密データの保護は指定された BigQuery テーブルにスキャンの検出結果を保存します。エクスポートされた検出結果には、各検索結果の場所と一致の可能性に関する詳細が含まれています。各検出結果に infoType 検出器に一致した文字列を含める場合は、[見積もりを含める] オプションを有効にします。
テーブル ID を指定しなければ、スキャンの最初の実行時に BigQuery によってデフォルトの名前が新しいテーブルに割り当てられます。既存のテーブルを指定した場合、機密データの保護により検出結果がテーブルに追加されます。
検出結果を BigQuery に保存しない場合、スキャン結果には検出結果の数と infoType に関する統計情報のみが含まれます。
データが BigQuery テーブルに書き込まれると、課金と割り当て使用量は、宛先テーブルが含まれるプロジェクトに適用されます。
Pub/Sub に公開: 機密データの保護ジョブの名前を属性として含む通知を Pub/Sub チャンネルに公開します。通知メッセージを送信するトピックを 1 つ以上指定できます。スキャンジョブを実行する機密データの保護サービス アカウントに、トピックに対する公開アクセス権があることを確認します。
Security Command Center に公開: ジョブの結果の概要を Security Command Center に公開します。詳細については、機密データの保護のスキャン結果を Security Command Center に送信するをご覧ください。
Dataplex に公開: ジョブの結果を、Google Cloud のメタデータ管理サービスである Dataplex に送信します。
メールで通知: ジョブが完了したときにメールを送信します。メールは IAM プロジェクト オーナーと技術的な重要な連絡先の技術担当者に送信されます。
Cloud Monitoring への公開: 検査結果を Google Cloud Observability の Cloud Monitoring に送信します。
匿名化されたコピーを作成する: 検査されたデータのすべての検出を匿名化し、匿名化されたコンテンツを新しいファイルに書き込みます。その後、機密情報を含むデータの代わりに、匿名化されたコピーをビジネス プロセスで使用できます。詳細については、Google Cloud コンソールで機密データの保護を使用して Cloud Storage データの匿名化されたコピーを作成するをご覧ください。
詳しくは、アクションをご覧ください。
アクションを選択し終えたら、[続行] をクリックします。
確認
[確認] セクションには、指定したジョブ設定の概要が JSON 形式で表示されます。
[作成] をクリックしてジョブを作成し(スケジュールを指定しなかった場合)、ジョブを 1 回実行します。ジョブの情報ページが表示され、ステータスなどの情報を確認できます。現在実行中のジョブがあれば、[キャンセル] ボタンをクリックして停止できます。[削除] をクリックしてジョブを削除することもできます。
機密データの保護のメインページに戻るには、Google Cloud コンソールの [戻る] 矢印をクリックします。
C#
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
REST
ジョブは、DLP API で DlpJobs
リソースによって表現されます。DlpJob
リソースの projects.dlpJobs.create
メソッドを使用して新しいジョブを作成できます。
このサンプル JSON は、POST リクエストによって、指定された機密データの保護 REST エンドポイントに送信できます。このサンプル JSON は、機密データの保護でジョブを作成する方法を示しています。ジョブは、Datastore 検査スキャンです。
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。リクエストが API Explorer で作成された場合でも、リクエストが正常な場合は、ジョブが作成されることに注意してください。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
JSON 入力:
{
"inspectJob": {
"storageConfig": {
"bigQueryOptions": {
"tableReference": {
"projectId": "bigquery-public-data",
"datasetId": "san_francisco_sfpd_incidents",
"tableId": "sfpd_incidents"
}
},
"timespanConfig": {
"startTime": "2020-01-01T00:00:01Z",
"endTime": "2020-01-31T23:59:59Z",
"timestampField": {
"name": "timestamp"
}
}
},
"inspectConfig": {
"infoTypes": [
{
"name": "PERSON_NAME"
},
{
"name": "STREET_ADDRESS"
}
],
"excludeInfoTypes": false,
"includeQuote": true,
"minLikelihood": "LIKELY"
},
"actions": [
{
"saveFindings": {
"outputConfig": {
"table": {
"projectId": "[PROJECT-ID]",
"datasetId": "[DATASET-ID]"
}
}
}
}
]
}
}
JSON 出力:
次の出力は、ジョブが正常に作成されたことを示しています。
{
"name": "projects/[PROJECT-ID]/dlpJobs/[JOB-ID]",
"type": "INSPECT_JOB",
"state": "PENDING",
"inspectDetails": {
"requestedOptions": {
"snapshotInspectTemplate": {},
"jobConfig": {
"storageConfig": {
"bigQueryOptions": {
"tableReference": {
"projectId": "bigquery-public-data",
"datasetId": "san_francisco_sfpd_incidents",
"tableId": "sfpd_incidents"
}
},
"timespanConfig": {
"startTime": "2020-01-01T00:00:01Z",
"endTime": "2020-01-31T23:59:59Z",
"timestampField": {
"name": "timestamp"
}
}
},
"inspectConfig": {
"infoTypes": [
{
"name": "PERSON_NAME"
},
{
"name": "STREET_ADDRESS"
}
],
"minLikelihood": "LIKELY",
"limits": {},
"includeQuote": true
},
"actions": [
{
"saveFindings": {
"outputConfig": {
"table": {
"projectId": "[PROJECT-ID]",
"datasetId": "[DATASET-ID]",
"tableId": "[TABLE-ID]"
}
}
}
}
]
}
},
"result": {}
},
"createTime": "2020-07-10T07:26:33.643Z"
}
新しいジョブトリガーを作成する
新しい機密データの保護のジョブトリガーを作成するには、次のようにします。
コンソール
Google Cloud Console の [機密データ保持] セクションで、[ジョブまたはジョブトリガーを作成] ページに移動します。
[ジョブまたはジョブトリガーを作成] ページには、次のセクションがあります。
入力データを選択
名前
ジョブトリガーの名前を入力します。文字、数字、ハイフンを使用できます。 ジョブトリガーの名前は省略可能です。名前を入力しない場合、機密データの保護によってジョブトリガーに一意の番号識別子が割り当てられます。
ロケーション
[ストレージの種類] メニューで、スキャンするデータが保存されているリポジトリの種類を選択します。
- Cloud Storage: スキャンするバケットの URL を入力します。または、[ロケーション タイプ] メニューから [含める / 含めない] を選択した後、[BROWSE] をクリックしてスキャン対象のバケットまたはサブフォルダに移動します。指定したディレクトリとそこに含まれるすべてのディレクトリをスキャンするには、[フォルダを再帰的にスキャンする] チェックボックスをオンにします。下位ディレクトリを対象にせず、指定したディレクトリだけをスキャンする場合は、このチェックボックスはオフのままにします。
- BigQuery: スキャンするプロジェクト、データセット、テーブルの識別子を入力します。
- Datastore: スキャンするプロジェクト、名前空間(省略可能)、種類の識別子を入力します。
サンプリング
サンプリングは、大量のデータがある場合にリソースを節約するオプションの方法です。
[サンプリング] では、選択したすべてのデータをスキャンするか、特定の割合のデータだけをスキャンしてサンプリングを行うかを選択できます。サンプリングは、スキャンするストレージ リポジトリの種類によって動作が異なります。
- BigQuery の場合、スキャンに含めるように指定したファイルの割合に応じて、選択された合計行数のサブセットをサンプリングします。
- Cloud Storage の場合、[1 ファイルあたりのスキャンの最大バイト数] で指定したサイズを超えるファイルについては、機密データの保護はその最大サイズまでスキャンしてから次のファイルに進みます。
サンプリングを有効にするには、最初のメニューで、以下のいずれかのオプションを選択します。
- 上からサンプリングを開始する: 機密データの保護は、データの先頭から部分スキャンを開始します。BigQuery の場合、最初の行からスキャンが開始されます。Cloud Storage の場合、各ファイルの先頭からスキャンが開始され、機密データの保護が指定された最大ファイルサイズまでスキャンするとスキャンが停止します(上記参照)。
- ランダム スタートからサンプリングを開始する: 機密データの保護は、データ内のランダムな場所から部分スキャンを開始します。BigQuery の場合、ランダムな行からスキャンが開始されます。Cloud Storage の場合、この設定は、指定された最大サイズを超えるファイルにのみ適用されます。機密データの保護は、最大ファイルサイズ未満のファイルは全体をスキャンし、最大ファイルサイズを超えるファイルは最大サイズまでスキャンします。
部分スキャンを実行するには、データのうち何パーセントをスキャンするかを指定する必要があります。スライダーを使って割合を設定します。
詳細構成
Cloud Storage バケットまたは BigQuery テーブルのスキャン ジョブトリガーを作成する際に、詳細構成を指定して検索を絞り込むことができます。具体的には、以下を構成できます。
- ファイル(Cloud Storage のみ): スキャンするファイルの種類。テキスト、バイナリ、画像ファイルを含めることができます。
- 識別フィールド(BigQuery のみ): テーブル内で一意の行識別子。
- Cloud Storage の場合、[1 ファイルあたりのスキャンの最大バイト数] で指定したサイズを超えるファイルについては、機密データの保護はその最大サイズまでスキャンしてから次のファイルに進みます。
サンプリングを有効にするには、データのうち何パーセントをスキャンするかを指定する必要があります。スライダーを使って割合を設定します。次に、最初のメニューで、以下のいずれかのオプションを選択します。
- 上からサンプリングを開始する: 機密データの保護は、データの先頭から部分スキャンを開始します。BigQuery の場合、最初の行からスキャンが開始されます。Cloud Storage の場合、各ファイルの先頭からスキャンが開始され、機密データの保護が指定された最大ファイルサイズまでスキャンするとスキャンが停止します(上記参照)。
- ランダム スタートからサンプリングを開始する: 機密データの保護は、データ内のランダムな場所から部分スキャンを開始します。BigQuery の場合、ランダムな行からスキャンが開始されます。Cloud Storage の場合、この設定は、指定された最大サイズを超えるファイルにのみ適用されます。機密データの保護は、最大ファイルサイズ未満のファイルは全体をスキャンし、最大ファイルサイズを超えるファイルは最大サイズまでスキャンします。
ファイル
Cloud Storage に保存されているファイルの場合は、[ファイル] でスキャンに含めるファイルの種類を指定できます。
バイナリ、テキスト、画像、Microsoft Word、Microsoft Excel、Microsoft PowerPoint、PDF、Apache Avro ファイルから選択できます。機密データの保護が Cloud Storage バケット内でスキャンできるファイル拡張子の完全なリストについては、FileType
をご覧ください。
[バイナリ] を選択すると、Sensitive Data Protection で認識されない形式のファイルをスキャンできます。
識別フィールド
BigQuery のテーブルの場合、[識別フィールド] フィールドで、クエリ結果にテーブルの主キー列の値を含めるように機密データの保護に指示できます。そうすることで、検出結果を、それらを含むテーブル行にリンクできます。
テーブル内の各行を一意に識別する列の名前を入力します。必要に応じて、ドット表記を使用してネストされたフィールドを指定します。追加できるフィールドの数に制限はありません。
検出結果を BigQuery にエクスポートするには、[BigQuery に保存] アクションも有効にする必要があります。検出結果が BigQuery にエクスポートされると、各検出結果には識別フィールドのそれぞれの値が含まれます。詳細については、identifyingFields
をご覧ください。
検出を構成する
[検出の設定] セクションでは、スキャン対象のセンシティブ データの種類を指定します。このセクションは省略可能です。このセクションをスキップすると、機密データの保護は infoType のデフォルト セットをスキャンします。
テンプレート
必要に応じて、機密データの保護テンプレートを使用して、以前に指定した構成情報を再利用できます。
使用するテンプレートをすでに作成している場合は、[テンプレート名] フィールドをクリックして既存の検査テンプレートのリストを表示します。使用するテンプレートの名前を選択または入力します。
テンプレートの作成について詳しくは、機密データの保護の検査テンプレートの作成をご覧ください。
infoType
infoType 検出器は、特定の型の機密データを検出します。たとえば、機密データの保護に組み込みの US_SOCIAL_SECURITY_NUMBER
を使用した infoType 検出器では、米国の社会保障番号が検出されます。組み込みの infoType 検出器に加えて、独自のカスタム infoType 検出器を作成できます。
[InfoType] で、スキャンするデータ型に対応する infoType 検出器を選択します。このフィールドを空白のままにして、デフォルトのすべての infoTypes をスキャン対象にすることもできます。それぞれの検出器の詳細については、InfoType 検出器リファレンスをご覧ください。
また、[カスタム infoType] セクションでカスタム infoType 検出器を追加し、[検査ルールセット] セクションで組み込みとカスタムの両方の infoType 検出器をカスタマイズできます。
カスタム infoType
検査ルールセット
検査ルールセットを使用すると、コンテキスト ルールを使用して、組み込み infoType 検出器とカスタム infoType 検出器の両方をカスタマイズできます。検査ルールには 2 種類あります。
- 除外ルール。誤った検索結果や望ましくない検索結果を除外するのに役立ちます。
- ホットワード ルール。追加の検索結果を検出するのに役立ちます。
新しいルールセットを追加するには、まず [InfoTypes] セクションで、組み込みまたはカスタムの infoType 検出器を 1 つ以上指定します。これらは、ルールセットが変更する infoType 検出器です。次に、以下の操作を行います。
- [infoType を選択] フィールドをクリックします。次のように、以前に指定した infoType がフィールドの下にメニューとして表示されます。
- メニューから infoType を選択し、[ルールを追加] をクリックします。[起動ワードルール] と [除外ルール] の 2 つのオプションが表示されたメニューが表示されます。
ホットワード ルールの場合は、[ホットワード ルール] を選択します。次に、以下の操作を行います。
- [起動ワード] フィールドに、機密データの保護が検索する正規表現を入力します。
- [ホットワードの近接性] メニューで、入力したホットワードが選択した infoType の前に検出されるかどうかを選択します。
- [infoType からの起動ワードの距離] に、起動ワードと選択した infoType との間のおおよその文字数を入力します。
- [信頼度の調整] で、一致に固定の可能性レベルを割り当てるか、デフォルトの可能性レベルを一定の量増減するかを選択します。
除外ルールの場合は、[除外ルール] を選択します。次に、以下の操作を行います。
- [除外] フィールドに、Sensitive Data Protection が検索する正規表現(regex)を入力します。
- [一致タイプ] メニューから、次のいずれかを選択します。
- 完全一致: 検出結果が正規表現と完全に一致している必要があります。
- 部分一致: 検出結果の部分文字列が正規表現と一致する。
- 逆一致: 検出結果が正規表現と一致しません。
ホットワード ルールや除外ルール、ルールセットを追加して、スキャン結果をさらに絞り込むことができます。
信頼度のしきい値
機密データの保護で機密データの一致候補が検出されるたびに、可能性の値が「かなり低い」から「かなり高い」までの尺度で割り当てられます。ここで可能性の値を設定すると、機密データの保護は、その可能性の値以上のデータの一致のみを検出するように指示されます。
「可能性あり」はデフォルト値で、ほとんどの用途に十分対応できます。検出される一致が常に、あまりに広範に及ぶ場合は、スライダーを右に動かしてください。一致が少なすぎる場合は、スライダーを左に動かしてください。
設定が完了したら、[続行] をクリックします。
アクションの追加
[アクションの追加] ステップには、ジョブの完了後に機密データの保護に実行させる 1 つ以上のアクションを選択します。
次のアクションを構成できます。
BigQuery に保存: 機密データの保護ジョブの結果を BigQuery テーブルに保存します。結果を表示または分析する前に、ジョブが完了していることを確認します。
スキャンが実行されるたびに、機密データの保護は指定された BigQuery テーブルにスキャンの検出結果を保存します。エクスポートされた検出結果には、各検索結果の場所と一致の可能性に関する詳細が含まれています。各検出結果に infoType 検出器に一致した文字列を含める場合は、[見積もりを含める] オプションを有効にします。
テーブル ID を指定しなければ、スキャンの最初の実行時に BigQuery によってデフォルトの名前が新しいテーブルに割り当てられます。既存のテーブルを指定した場合、機密データの保護により検出結果がテーブルに追加されます。
検出結果を BigQuery に保存しない場合、スキャン結果には検出結果の数と infoType に関する統計情報のみが含まれます。
データが BigQuery テーブルに書き込まれると、課金と割り当て使用量は、宛先テーブルが含まれるプロジェクトに適用されます。
Pub/Sub に公開: 機密データの保護ジョブの名前を属性として含む通知を Pub/Sub チャンネルに公開します。通知メッセージを送信するトピックを 1 つ以上指定できます。スキャンジョブを実行する機密データの保護サービス アカウントに、トピックに対する公開アクセス権があることを確認します。
Security Command Center に公開: ジョブの結果の概要を Security Command Center に公開します。詳細については、機密データの保護のスキャン結果を Security Command Center に送信するをご覧ください。
Dataplex に公開: ジョブの結果を、Google Cloud のメタデータ管理サービスである Dataplex に送信します。
メールで通知: ジョブが完了したときにメールを送信します。メールは IAM プロジェクト オーナーと技術的な重要な連絡先の技術担当者に送信されます。
Cloud Monitoring への公開: 検査結果を Google Cloud Observability の Cloud Monitoring に送信します。
匿名化されたコピーを作成する: 検査されたデータのすべての検出を匿名化し、匿名化されたコンテンツを新しいファイルに書き込みます。その後、機密情報を含むデータの代わりに、匿名化されたコピーをビジネス プロセスで使用できます。詳細については、Google Cloud コンソールで機密データの保護を使用して Cloud Storage データの匿名化されたコピーを作成するをご覧ください。
詳しくは、アクションをご覧ください。
アクションを選択し終えたら、[続行] をクリックします。
スケジュール
[スケジュール] セクションでは、次の 2 つのことが行えます。
- 期間を指定: このオプションを選択すると、スキャンするファイルまたは行が日付で制限されます。[開始時刻] をクリックして、対象に含めるファイルの一番古いタイムスタンプを指定します。すべてのファイルを指定するには、この値を空白のままにします。[終了時刻] をクリックして、対象に含めるファイルの一番新しいタイムスタンプを指定します。タイムスタンプの上限を指定しない場合は、この値を空白のままにします。
周期スケジュールでジョブを実行するトリガーを作成: このオプションを選択すると、ジョブが周期スケジュールで実行されるジョブトリガーになります。スケジュールを指定しない場合、すぐに開始され、1 回限り実行されるジョブが 1 つ作成されます。定期的に実行されるジョブトリガーを作成するには、このオプションの設定は必須です。
デフォルト値は最小値の「24 時間」です。最大値は 60 日です。
機密データの保護で新しいファイルまたは行のみをスキャンする場合は、[スキャンを新しいコンテンツのみに制限する] を選択します。BigQuery 検査については、3 時間以上経過した行のみがスキャン対象となります。このオペレーションに関連する既知の問題をご覧ください。
確認
[確認] セクションには、指定したジョブ設定の概要が JSON 形式で表示されます。
[作成] をクリックして、ジョブトリガーを作成します(スケジュールを指定した場合)。ジョブトリガーの情報ページが開き、ステータスとその他の情報が表示されます。現在実行中のジョブがあれば、[キャンセル] ボタンをクリックして停止できます。[削除] をクリックしてジョブトリガーを削除することもできます。
機密データの保護のメインページに戻るには、Google Cloud コンソールの [戻る] 矢印をクリックします。
C#
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
REST
ジョブトリガーは、DLP API で JobTrigger
リソースによって表現されます。新しいジョブトリガーを作成するには、JobTrigger
リソースの projects.jobTriggers.create
メソッドを使用します。
このサンプル JSON は、POST リクエストによって、指定された機密データの保護 REST エンドポイントに送信できます。このサンプル JSON では、機密データの保護でジョブトリガーを作成する方法を示しています。このトリガーが開始するジョブは Datastore 検査スキャンです。作成されたジョブトリガーは、86,400 秒(24 時間)ごとに実行されます。
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。リクエストが API Explorer で作成された場合でも、リクエストが正常な場合は、スケジュールされたジョブトリガーが新規に作成されることに注意してください。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
JSON 入力:
{
"jobTrigger":{
"displayName":"JobTrigger1",
"description":"Starts an inspection of a Datastore kind",
"triggers":[
{
"schedule":{
"recurrencePeriodDuration":"86400s"
}
}
],
"status":"HEALTHY",
"inspectJob":{
"storageConfig":{
"datastoreOptions":{
"kind":{
"name":"Example-Kind"
},
"partitionId":{
"projectId":"[PROJECT_ID]",
"namespaceId":"[NAMESPACE_ID]"
}
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"excludeInfoTypes":false,
"includeQuote":true,
"minLikelihood":"LIKELY"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT_ID]",
"datasetId":"[BIGQUERY_DATASET_NAME]",
"tableId":"[BIGQUERY_TABLE_NAME]"
}
}
}
}
]
}
}
}
JSON 出力:
次の出力は、ジョブトリガーが正常に作成されたことを示しています。
{
"name":"projects/[PROJECT_ID]/jobTriggers/[JOB_TRIGGER_NAME]",
"displayName":"JobTrigger1",
"description":"Starts an inspection of a Datastore kind",
"inspectJob":{
"storageConfig":{
"datastoreOptions":{
"partitionId":{
"projectId":"[PROJECT_ID]",
"namespaceId":"[NAMESPACE_ID]"
},
"kind":{
"name":"Example-Kind"
}
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"minLikelihood":"LIKELY",
"limits":{
},
"includeQuote":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT_ID]",
"datasetId":"[BIGQUERY_DATASET_NAME]",
"tableId":"[BIGQUERY_TABLE_NAME]"
}
}
}
}
]
},
"triggers":[
{
"schedule":{
"recurrencePeriodDuration":"86400s"
}
}
],
"createTime":"2018-11-30T01:52:41.171857Z",
"updateTime":"2018-11-30T01:52:41.171857Z",
"status":"HEALTHY"
}
すべてのジョブを一覧表示する
現在のプロジェクトのすべてのジョブを一覧表示するには:
コンソール
Google Cloud コンソールで [機密データの保護] ページに移動します。
[検査] タブをクリックしてから、[検査ジョブ] サブクラスをクリックします。
コンソールに、現在のプロジェクトのすべてのジョブのリスト(ジョブの識別子、状態、作成時間、終了時間を含む)が表示されます。ジョブの識別子をクリックすると、ジョブの詳細情報と結果の概要が表示されます。
C#
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
REST
DlpJob
リソースの projects.dlpJobs.list
メソッドを使用すると、すべてのジョブを一覧表示できます。
プロジェクトで現在定義されているすべてのジョブを一覧表示するには、以下に示すように、GET リクエストを dlpJobs
エンドポイントに送信します。
URL:
GET https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
次の JSON 出力は、返されたジョブのうちの 1 つを示しています。ジョブの構造は DlpJob
リソースの構造をそのまま反映しています。
JSON 出力:
{
"jobs":[
{
"name":"projects/[PROJECT-ID]/dlpJobs/i-5270277269264714623",
"type":"INSPECT_JOB",
"state":"DONE",
"inspectDetails":{
"requestedOptions":{
"snapshotInspectTemplate":{
},
"jobConfig":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"[CLOUD-STORAGE-URL]"
},
"fileTypes":[
"FILE_TYPE_UNSPECIFIED"
],
"filesLimitPercent":100
},
"timespanConfig":{
"startTime":"2019-09-08T22:43:16.623Z",
"enableAutoPopulationOfTimespanConfig":true
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"US_SOCIAL_SECURITY_NUMBER"
},
{
"name":"CANADA_SOCIAL_INSURANCE_NUMBER"
}
],
"minLikelihood":"LIKELY",
"limits":{
},
"includeQuote":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[DATASET-ID]",
"tableId":"[TABLE-ID]"
}
}
}
}
]
}
},
"result":{
...
}
},
"createTime":"2019-09-09T22:43:16.918Z",
"startTime":"2019-09-09T22:43:16.918Z",
"endTime":"2019-09-09T22:43:53.091Z",
"jobTriggerName":"projects/[PROJECT-ID]/jobTriggers/sample-trigger2"
},
...
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
すべてのジョブトリガーを一覧表示する
現在のプロジェクトのすべてのジョブトリガーを一覧表示するには:
コンソール
Google Cloud コンソールで [機密データの保護] ページに移動します。
[検査] タブの [ジョブトリガー] サブタブに、コンソールによって、現在のプロジェクトのすべてのジョブトリガーのリストが表示されます。
C#
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
REST
JobTrigger
リソースの projects.jobTriggers.list
メソッドを使用すると、すべてのジョブトリガーを一覧表示できます。
プロジェクトで現在定義されているすべてのジョブトリガーを一覧表示するには、以下に示すように、GET リクエストを jobTriggers
エンドポイントに送信します。
URL:
GET https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/jobTriggers?key={YOUR_API_KEY}
次の JSON 出力には、前のセクションで作成したジョブトリガーが一覧表示されています。ジョブトリガーの構造は JobTrigger
リソースの構造をそのまま反映しています。
JSON 出力:
{
"jobTriggers":[
{
"name":"projects/[PROJECT_ID]/jobTriggers/[JOB_TRIGGER_NAME]",
"displayName":"JobTrigger1",
"description":"Starts an inspection of a Datastore kind",
"inspectJob":{
"storageConfig":{
"datastoreOptions":{
"partitionId":{
"projectId":"[PROJECT_ID]",
"namespaceId":"[NAMESPACE_ID]"
},
"kind":{
"name":"Example-Kind"
}
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"minLikelihood":"LIKELY",
"limits":{
},
"includeQuote":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT_ID]",
"datasetId":"[BIGQUERY_DATASET_NAME]",
"tableId":"[BIGQUERY_TABLE_NAME]"
}
}
}
}
]
},
"triggers":[
{
"schedule":{
"recurrencePeriodDuration":"86400s"
}
}
],
"createTime":"2018-11-30T01:52:41.171857Z",
"updateTime":"2018-11-30T01:52:41.171857Z",
"status":"HEALTHY"
},
...
],
"nextPageToken":"KkwKCQjivJ2UpPreAgo_Kj1wcm9qZWN0cy92ZWx2ZXR5LXN0dWR5LTE5NjEwMS9qb2JUcmlnZ2Vycy8xNTA5NzEyOTczMDI0MDc1NzY0"
}
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
ジョブの削除
プロジェクトからジョブとジョブの結果を削除するには、次のようにします。外部(BigQuery など)に保存された結果は、この操作をしても削除されません。
コンソール
Google Cloud コンソールで [機密データの保護] ページに移動します。
[検査] タブをクリックしてから、[検査ジョブ] サブクラスをクリックします。Google Cloud コンソールに、現在のプロジェクトにあるすべてのジョブが一覧表示されます。
削除するジョブトリガーの [操作] 列で、[その他の操作] メニュー(縦に並んだ 3 つの点で表示)
をクリックし、[削除] をクリックします。
または、ジョブの一覧で削除対象のジョブの識別子をクリックし、ジョブの詳細ページで [削除] をクリックします。
C#
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
REST
現在のプロジェクトからジョブを削除するには、以下に示すように、DELETE リクエストを dlpJobs
エンドポイントに送信します。[JOB-IDENTIFIER]
フィールドは、i-
で始まるジョブの識別子に置き換えます。
URL:
DELETE https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs/[JOB-IDENTIFIER]?key={YOUR_API_KEY}
リクエストが成功した場合、DLP API は成功レスポンスを返します。ジョブが正常に削除されたことを確認するには、すべてのジョブを一覧表示します。
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
ジョブトリガーを削除する
コンソール
Google Cloud コンソールで [機密データの保護] ページに移動します。
[検査] タブの [ジョブトリガー] サブタブに、コンソールによって、現在のプロジェクトのすべてのジョブトリガーのリストが表示されます。
削除するジョブトリガーの [操作] 列で、[その他の操作] メニュー(縦に並んだ 3 つの点で表示)
をクリックし、[削除] をクリックします。
または、ジョブトリガーの一覧で削除対象のジョブの名前をクリックし、ジョブトリガーの詳細ページで [削除] をクリックします。
C#
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
REST
現在のプロジェクトからジョブトリガーを削除するには、以下に示すように、DELETE リクエストを jobTriggers
エンドポイントに送信します。[JOB-TRIGGER-NAME]
フィールドは、ジョブトリガーの名前に置き換えます。
URL:
DELETE https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/jobTriggers/[JOB-TRIGGER-NAME]?key={YOUR_API_KEY}
リクエストが成功した場合、DLP API は成功レスポンスを返します。ジョブトリガーが正常に削除されたことを確認するには、すべてのジョブトリガーを一覧表示します。
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
ジョブの取得
プロジェクトからジョブとジョブの結果を取得するには、次のようにします。外部(BigQuery など)に保存された結果は、この操作をしても削除されません。
C#
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
REST
現在のプロジェクトからジョブを取得するには、以下に示すように、GET リクエストを dlpJobs
エンドポイントに送信します。[JOB-IDENTIFIER]
フィールドは、i-
で始まるジョブの識別子に置き換えます。
URL:
GET https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs/[JOB-IDENTIFIER]?key={YOUR_API_KEY}
リクエストが成功した場合、DLP API は成功レスポンスを返します。
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
ジョブトリガーの即時実行
ジョブトリガーが作成された後、トリガーを有効にすると、トリガーを強制的にすぐに実行できます。これを行うには、次のコマンドを実行します。
curl --request POST \
-H "Content-Type: application/json" \
-H "Accept: application/json" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "X-Goog-User-Project: PROJECT_ID" \
'https://dlp.googleapis.com/v2/JOB_TRIGGER_NAME:activate'
以下を置き換えます。
- PROJECT_ID: リクエストに関連付けられたアクセス料金が請求される Google Cloud プロジェクトの ID。
- JOB_TRIGGER_NAME: ジョブトリガーの完全なリソース名(例:
projects/my-project/locations/global/jobTriggers/123456789
)。
既存のジョブトリガーを更新する
ジョブトリガーの作成、一覧表示、削除に加えて、既存のジョブトリガーを更新することもできます。既存のジョブトリガーの構成を変更するには、次の操作を行います。
コンソール
Google Cloud コンソールで [機密データの保護] ページに移動します。
[検査] タブをクリックしてから、[ジョブトリガー] サブタブをクリックします。
現在のプロジェクトにあるすべてのジョブトリガーが一覧表示されます。
削除するジョブトリガーの [操作] 列で、[その他] more_vert をクリックし、続いて [詳細を表示] をクリックします。
ジョブトリガーの詳細ページで、[編集] をクリックします。
[トリガーの編集] ページでは、入力データの場所や、テンプレート、infoType、可能性などの検出の詳細、スキャン後の操作、およびジョブトリガーのスケジュールを変更できます。変更が終わったら、[保存] をクリックします。
C#
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
機密データの保護用のクライアント ライブラリをインストールして使用する方法については、機密データの保護のクライアント ライブラリをご覧ください。
機密データの保護のために認証するには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
REST
projects.jobTriggers.patch
メソッドを使用して、新しい JobTrigger
の値を Cloud DLP API に送信し、指定したジョブトリガー内でそれらの値を更新します。
たとえば、次の簡単なジョブトリガーで考えてみましょう。ジョブトリガーを表現したこの JSON は、現在のプロジェクトのジョブトリガー エンドポイントに GET リクエストを送信したときに戻されたものです。
JSON 出力:
{
"name":"projects/[PROJECT_ID]/jobTriggers/[JOB_TRIGGER_NAME]",
"inspectJob":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://dlptesting/*"
},
"fileTypes":[
"FILE_TYPE_UNSPECIFIED"
],
"filesLimitPercent":100
},
"timespanConfig":{
"enableAutoPopulationOfTimespanConfig":true
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"US_SOCIAL_SECURITY_NUMBER"
}
],
"minLikelihood":"POSSIBLE",
"limits":{
}
},
"actions":[
{
"jobNotificationEmails":{
}
}
]
},
"triggers":[
{
"schedule":{
"recurrencePeriodDuration":"86400s"
}
}
],
"createTime":"2019-03-06T21:19:45.774841Z",
"updateTime":"2019-03-06T21:19:45.774841Z",
"status":"HEALTHY"
}
次の JSON は、指定されたエンドポイントに PATCH リクエストで送信されると、スキャン対象となる新しい infoType と新しい最小可能性でジョブトリガーを更新します。updateMask
属性も指定する必要があり、その値は FieldMask
形式であるので注意してください。
JSON 入力:
PATCH https://dlp.googleapis.com/v2/projects/[PROJECT_ID]/jobTriggers/[JOB_TRIGGER_NAME]?key={YOUR_API_KEY}
{
"jobTrigger":{
"inspectJob":{
"inspectConfig":{
"infoTypes":[
{
"name":"US_INDIVIDUAL_TAXPAYER_IDENTIFICATION_NUMBER"
}
],
"minLikelihood":"LIKELY"
}
}
},
"updateMask":"inspectJob(inspectConfig(infoTypes,minLikelihood))"
}
この JSON を指定された URL に送信すると、更新されたジョブトリガーを表す次の情報が返されます。元の infoType と可能性の値が新しい値に置き換えられていることに注意してください。
JSON 出力:
{
"name":"projects/[PROJECT_ID]/jobTriggers/[JOB_TRIGGER_NAME]",
"inspectJob":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://dlptesting/*"
},
"fileTypes":[
"FILE_TYPE_UNSPECIFIED"
],
"filesLimitPercent":100
},
"timespanConfig":{
"enableAutoPopulationOfTimespanConfig":true
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"US_INDIVIDUAL_TAXPAYER_IDENTIFICATION_NUMBER"
}
],
"minLikelihood":"LIKELY",
"limits":{
}
},
"actions":[
{
"jobNotificationEmails":{
}
}
]
},
"triggers":[
{
"schedule":{
"recurrencePeriodDuration":"86400s"
}
}
],
"createTime":"2019-03-06T21:19:45.774841Z",
"updateTime":"2019-03-06T21:27:01.650183Z",
"lastRunTime":"1970-01-01T00:00:00Z",
"status":"HEALTHY"
}
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
ジョブのレイテンシ
ジョブとジョブトリガーに対するサービスレベル目標(SLO)は保証されません。レイテンシは、スキャンするデータの量、スキャン対象のストレージ リポジトリ、スキャン対象の infoType のタイプと数、ジョブが処理されるリージョン、そのリージョンで使用可能なコンピューティング リソースなどさまざまな要因に影響を受けます。したがって、検査ジョブのレイテンシは事前に決定できません。
ジョブのレイテンシを短縮するため、次の方法を試すことができます。
- ジョブまたはジョブトリガーでサンプリングを利用できる場合は、有効にします。
不要な infoType は有効にしないでください。以下は特定のシナリオで有用ですが、これらの infoType により、リクエストの実行速度がこれらを含まないリクエストよりもはるかに遅くなる可能性があります。
PERSON_NAME
FEMALE_NAME
MALE_NAME
FIRST_NAME
LAST_NAME
DATE_OF_BIRTH
LOCATION
STREET_ADDRESS
ORGANIZATION_NAME
infoType は常に明示的に指定します。空の infoType リストを使用しないでください。
可能であれば、処理を行う別のリージョンを使用します。
これらの手法を試してもジョブに関するレイテンシの問題が解決しない場合は、ジョブではなく content.inspect
リクエストまたは content.deidentify
リクエストの使用を検討してください。これらの方法にはサービスレベル契約が適用されます。詳細については、機密データの保護のサービスレベル契約をご覧ください。
スキャンを新しいコンテンツのみに制限する
Cloud Storage または BigQuery に保存されるファイルのタイムスパンの日付を自動的に設定するジョブトリガーを構成できます。TimespanConfig
オブジェクトを自動入力に設定すると、機密データの保護は、トリガーが最後に実行されてから追加または変更されたデータのみをスキャンします。
...
timespan_config {
enable_auto_population_of_timespan_config: true
}
...
BigQuery 検査については、3 時間以上経過した行のみがスキャン対象となります。このオペレーションに関連する既知の問題をご覧ください。
ファイルのアップロード時にジョブをトリガーする
機密データの保護に組み込まれているジョブトリガーのサポートに加えて、Google Cloud には機密データの保護のジョブの統合やトリガーに使用できるさまざまなコンポーネントがあります。たとえば、ファイルを Cloud Storage にアップロードするたびに、Cloud Run 関数を使用して機密データの保護のスキャンを開始できます。
このオペレーションの設定方法については、Cloud Storage にアップロードされたデータの分類の自動化をご覧ください。
データが検査されなかった成功したジョブ
データがスキャンされていなくても、ジョブは正常に完了することがあります。次のようなシナリオでは、この問題が発生する可能性があります。
- ジョブは、存在するが空の特定のデータアセット(ファイルなど)を検査するように構成されています。
- ジョブは、存在しないデータアセットまたは存在しなくなったデータアセットを検査するように構成されています。
- ジョブは、空の Cloud Storage バケットを検査するように構成されています。
- ジョブはバケットを検査するように構成されており、再帰スキャンは無効になっています。最上位レベルのバケットには、ファイルを含むフォルダのみが含まれます。
- バケット内の特定のファイル形式のみを検査するようにジョブが構成されていますが、バケットにそのタイプのファイルがありません。
- ジョブは新しいコンテンツのみを検査するように構成されていますが、ジョブが最後に実行されてから更新されていません。
Google Cloud コンソールの [ジョブの詳細] ページの [スキャンされたバイト数] フィールドに、ジョブによって検査されたデータの量が指定されます。DLP API の processedBytes
フィールドには、検査されたデータの量を指定します。
次のステップ
- データの匿名化されたコピーのストレージ内への作成について確認する。