Die korrekte Verwaltung sensibler Daten, die in einem Speicher-Repository gespeichert sind, beginnt mit der Speicherklassifizierung: Sie identifizieren, wo sich Ihre sensiblen Daten im Repository befinden, um welche Art von sensiblen Daten es sich handelt und wie sie genutzt werden. Dieses Wissen kann Ihnen helfen, Berechtigungen für die Zugriffssteuerung und Freigabe richtig festzulegen, und in einen ständigen Überwachungsplan einfließen.
Mit dem Schutz sensibler Daten können sensible Daten, die an einem Cloud Storage-Speicherort, in einer Datastore-Art oder in einer BigQuery-Tabelle gespeichert sind, erkannt und klassifiziert werden. Beim Scannen von Dateien an Cloud Storage-Speicherorten unterstützt der Schutz sensibler Daten das Scannen von Binär-, Text-, Bild-, Microsoft Word-, Microsoft Excel-, Microsoft PowerPoint-, PDF- und Apache Avro-Dateien. Dateitypen, die nicht erkannt werden, werden als Binärdateien gescannt. Weitere Informationen zu unterstützten Dateitypen finden Sie unter Unterstützte Dateitypen.
Wenn Sie Speicher und Datenbanken auf sensible Daten prüfen möchten, geben Sie den Speicherort der Daten und die Art von sensiblen Daten an, nach denen der Schutz sensibler Daten suchen soll. Sensitive Data Protection initiiert einen Job, der die Daten am angegebenen Speicherort prüft und dann Details zu den im Inhalt erkannten infoTypes, Wahrscheinlichkeitswerten, und weitere Details zur Verfügung stellt.
Sie können eine Speicher- und Datenbankinspektion mithilfe des Schutzes sensibler Daten in der Google Cloud Console, über die RESTful DLP API oder programmatisch in mehreren Programmiersprachen mithilfe einer Clientbibliothek für den Schutz sensibler Daten einrichten.
Dieses Thema umfasst:
- Best Practices zum Einrichten von Scans von Google Cloud Storage-Repositories und -Datenbanken.
- Eine Anleitung zum Einrichten eines Inspektionsscans mithilfe des Schutzes sensibler Daten in der Google Cloud Console und (optional) zum Planen sich periodisch wiederholender Inspektionsscans.
- JSON- und Codebeispiele für jeden Google Cloud Storage-Repository-Typ: Cloud Storage, Firestore im Datastore-Modus (Datastore) und BigQuery.
- Eine detaillierte Übersicht über die Konfigurationsoptionen für Scanjobs.
- Eine Anleitung zum Abrufen von Scanergebnissen und zum Verwalten der Scanjobs, die bei jeder erfolgreichen API-Anfrage erstellt werden.
Best Practices
Zu scannende Assets identifizieren und priorisieren
Es ist wichtig, dass Sie Ihre Assets evaluieren und angeben, welche davon die höchste Priorität für Scanvorgänge haben. Wahrscheinlich wird der Rückstand der zu klassifizierenden Daten anfangs groß sein und keine Möglichkeit bestehen, alle Daten sofort zu scannen. Wählen Sie also zuerst Daten aus, die das höchste Risiko bergen. Dazu gehören beispielsweise Daten, die häufig abgerufen oder allgemein zugänglich bzw. unbekannt sind.
Zugriff für den Schutz sensibler Daten auf Ihre Daten gewähren
Sensitive Data Protection muss auf die zu scannenden Daten zugreifen können. Achten Sie darauf, dass das Dienstkonto für den Schutz sensibler Daten Lesezugriff auf Ihre Ressourcen hat.
Umfang der ersten Scans beschränken
Die besten Ergebnisse erzielen Sie, wenn Sie den Umfang der ersten Jobs beschränken und nicht alle Daten scannen. Beginnen Sie mit einer einzigen Tabelle, einem einzigen Bucket oder einigen Dateien und verwenden Sie die Probenahme. Wenn Sie den Umfang der ersten Scans beschränken, können Sie die zu aktivierenden Detektoren und die eventuell erforderlichen Ausschlussregeln besser bestimmen, um falsch positive Ergebnisse zu reduzieren und damit aussagekräftigere Ergebnisse zu erhalten. Vermeiden Sie es, alle infoTypes zu aktivieren, wenn Sie nicht alle benötigen, da falsch positive oder unbrauchbare Ergebnisse die Risikoeinschätzung erschweren. Obwohl infoTypes wie DATE
, TIME
, DOMAIN_NAME
und URL
in bestimmten Szenarien nützlich sind, ergeben sie in einem breiten Spektrum von Ergebnissen Übereinstimmungen, sodass deren Aktivierung für große Datenscans unter Umständen nicht sinnvoll ist.
Achten Sie beim Stichprobenziehen aus einer strukturierten Datei wie einer CSV-, TSV- oder Avro-Datei darauf, dass die Stichprobengröße groß genug ist, um den gesamten Kopf und eine Datenzeile der Datei abzudecken. Weitere Informationen finden Sie unter Strukturierte Dateien im Modus für strukturiertes Parsen scannen.
Scans planen
Verwenden Sie Job-Trigger für den Schutz sensibler Daten, um täglich, wöchentlich oder vierteljährlich automatisch Scans auszuführen und Ergebnisse zu generieren. Sie können diese Scans auch so konfigurieren, dass nur Daten geprüft werden, die sich seit dem letzten Scan geändert haben. Dies kann Zeit sparen und Kosten senken. Wenn Sie Scans regelmäßig ausführen, lassen sich Trends oder Anomalien in den Scanergebnissen leichter erkennen.
Joblatenz
Für Jobs und Jobtrigger werden keine Service Level Objectives (SLOs) garantiert. Die Latenz hängt von mehreren Faktoren ab, darunter die zu scannende Datenmenge, das zu scannende Speicher-Repository, der Typ und die Anzahl der Infotypen, nach denen Sie suchen, die Region, in der der Job verarbeitet wird, und die in dieser Region verfügbaren Rechenressourcen. Daher kann die Latenz von Inspektionsjobs nicht im Voraus bestimmt werden.
Versuchen Sie Folgendes, um die Joblatenz zu reduzieren:
- Wenn Stichprobenerhebung für Ihren Job oder Job-Trigger verfügbar ist, aktivieren Sie sie.
Aktivieren Sie nicht benötigte infoTypes. Die folgenden „infoTypes“ sind in bestimmten Szenarien zwar nützlich, können aber dazu führen, dass Anfragen viel langsamer ausgeführt werden als Anfragen ohne diese „infoTypes“:
PERSON_NAME
FEMALE_NAME
MALE_NAME
FIRST_NAME
LAST_NAME
DATE_OF_BIRTH
LOCATION
STREET_ADDRESS
ORGANIZATION_NAME
Geben Sie infoTypes immer explizit an. Verwenden Sie keine leere infoTypes-Liste.
Verwenden Sie nach Möglichkeit eine andere Verarbeitungsregion.
Wenn Sie nach dem Ausprobieren dieser Methoden weiterhin Latenzprobleme mit Jobs haben, sollten Sie anstelle von Jobs content.inspect
- oder content.deidentify
-Anfragen verwenden. Für diese Methoden gilt das Service Level Agreement. Weitere Informationen finden Sie in der Service Level Agreement zum Schutz sensibler Daten.
Hinweise
Für die Anleitung in diesem Thema wird Folgendes vorausgesetzt:
Sie haben die Abrechnung aktiviert.
Sie haben den Schutz sensibler Daten aktiviert.
Die Speicherklassifizierung erfordert den folgenden OAuth-Bereich: https://www.googleapis.com/auth/cloud-platform
. Weitere Informationen finden Sie unter Bei der DLP API authentifizieren.
Cloud Storage-Speicherort prüfen
Sie können eine Inspektion zum Schutz sensibler Daten eines Cloud Storage-Speicherorts mithilfe der Google Cloud Console, der DLP API über REST- oder RPC-Anfragen oder programmatisch in mehreren Programmiersprachen mithilfe einer Clientbibliothek einrichten. Informationen zu den Parametern, die in den folgenden JSON- und Codebeispielen enthalten sind, finden Sie weiter unten im Abschnitt Speicherinspektion konfigurieren.
Der Schutz sensibler Daten verwendet Dateiendungen und Medien-MIME-Typen, um die zu scannenden Dateitypen und die anzuwendenden Scanmodi zu identifizieren. So wird beispielsweise eine .txt
-Datei im Nur-Text-Modus gescannt, auch wenn die Datei als CSV-Datei strukturiert ist, die normalerweise im Modus für strukturiertes Parsen gescannt wird.
So richten Sie einen Scanjob für einen Cloud Storage-Bucket mithilfe von Sensitive Data Protection ein:
Console
In diesem Abschnitt wird beschrieben, wie Sie einen Cloud Storage-Bucket oder -Ordner prüfen. Wenn Sie mit dem Schutz sensibler Daten auch eine de-identifizierte Kopie Ihrer Daten erstellen möchten, lesen Sie den Hilfeartikel Sensible Daten in Cloud Storage mit der Google Cloud Console de-identifizieren.
Rufen Sie in der Google Cloud Console im Bereich „Schutz sensibler Daten“ die Seite Job oder Jobtrigger erstellen auf.
Geben Sie die Informationen zum Job zum Schutz sensibler Daten ein und klicken Sie auf Weiter, um die einzelnen Schritte auszuführen:
Geben Sie für Schritt 1: Eingabedaten auswählen einen Namen für den Job im Feld Name ein. Wählen Sie unter Speicherort im Menü Speichertyp die Option "Cloud Storage" aus und geben Sie dann den Speicherort der zu scannenden Daten ein. Der Bereich Probenahme ist zur Ausführung eines Beispielscans für Ihre Daten vorkonfiguriert. Sie können das Feld Prozentsatz der innerhalb des Buckets gescannten Objekte anpassen, um bei großen Datenmengen Ressourcen zu sparen. Weitere Informationen finden Sie unter Eingabedaten auswählen.
(Optional) Für Schritt 2: Erkennung konfigurieren können Sie festlegen, nach welchen Datentypen (infoTypes) gesucht werden soll. Sie haben die Möglichkeit, einen vordefinierten infoType aus der Liste oder eine Vorlage (sofern vorhanden) auszuwählen. Weitere Informationen finden Sie unter Erkennung konfigurieren.
(Optional) Achten Sie darauf, dass für Schritt 3: Aktionen hinzufügen die Option Per E-Mail benachrichtigen aktiviert ist.
Aktivieren Sie In BigQuery speichern, um die Ergebnisse zum Schutz sensibler Daten in einer BigQuery-Tabelle zu veröffentlichen. Machen Sie folgende Angaben:
- Geben Sie als Projekt-ID die Projekt-ID ein, unter der Ihre Ergebnisse gespeichert werden.
- Geben Sie als Dataset-ID den Namen des Datasets ein, in dem Ihre Ergebnisse gespeichert werden.
- (Optional) Geben Sie als Tabellen-ID den Namen der Tabelle ein, in der Ihre Ergebnisse gespeichert werden. Wenn Sie keine Tabellen-ID angeben, wird neuen Tabellen ein Standardname etwa in der Form
dlp_googleapis_[DATE]_1234567890
zugewiesen, wobei[DATE]
für das Datum steht, an dem der Scanvorgang ausgeführt wird. Wenn Sie eine vorhandene Tabelle angeben, werden die Ergebnisse daran angehängt. - Optional: Aktivieren Sie Zitat einschließen, um die Strings einzubeziehen, die mit einem infoType-Detektor übereinstimmen. Zitate sind potenziell vertraulich. Daher werden sie standardmäßig nicht in den Ergebnissen des Schutzes sensibler Daten berücksichtigt.
Wenn Daten in eine BigQuery-Tabelle geschrieben werden, werden die Abrechnung und Kontingentnutzung auf das Projekt angewendet, das die Zieltabelle enthält.
Wenn Sie eine de-identifizierte Kopie Ihrer Daten erstellen möchten, aktivieren Sie De-identifizierte Kopie erstellen. Weitere Informationen finden Sie unter Sensible in Cloud Storage gespeicherte Daten mit der Google Cloud Console de-identifizieren.
Sie können Ergebnisse auch in Pub/Sub, Security Command Center, Data Catalog und Cloud Monitoring speichern. Weitere Informationen finden Sie unter Aktionen hinzufügen.
(Optional) Übernehmen Sie für Schritt 4: Zeitplan die Menüoption Keiner, wenn der Scan nur einmal ausgeführt werden soll. Klicken Sie auf Trigger zum Ausführen des Jobs nach einem regelmäßigen Zeitplan erstellen, um die regelmäßige Ausführung von Scans zu planen. Weitere Informationen finden Sie unter Zeitplan.
Klicken Sie auf Erstellen.
Nach Abschluss des Jobs zum Schutz sensibler Daten werden Sie zur Seite mit den Jobdetails weitergeleitet und per E-Mail benachrichtigt. Sie können sich die Ergebnisse der Inspektion auf der Seite mit den Jobdetails ansehen.
Optional: Wenn Sie Ergebnisse zum Schutz sensibler Daten in BigQuery veröffentlichen möchten, klicken Sie auf der Seite Jobdetails auf Ergebnisse in BigQuery abrufen, um die Tabelle in der BigQuery-Web-UI zu öffnen. Anschließend können Sie die Tabelle abfragen und Ihre Ergebnisse analysieren. Weitere Informationen zum Abfragen Ihrer Ergebnisse in BigQuery finden Sie unter Ergebnisse zum Schutz sensibler Daten in BigQuery abfragen.
Protokoll
Es folgt ein JSON-Beispiel, das in einer POST-Anfrage an den angegebenen REST-Endpunkt für den Schutz sensibler Daten gesendet werden kann. In diesem JSON-Beispiel wird veranschaulicht, wie die DLP API zum Prüfen von Cloud Storage-Buckets verwendet wird. Informationen zu den Parametern, die in der Anfrage enthalten sind, finden Sie weiter unten im Abschnitt Speicherinspektion konfigurieren.
Sie können dies in APIs Explorer auf der Referenzseite für content.inspect
schnell ausprobieren:
Beachten Sie, dass bei erfolgreicher Ausführung einer Anfrage ein neuer Scanjob erstellt wird, auch in APIs Explorer. Informationen zum Steuern von Scanjobs finden Sie weiter unten im Abschnitt Inspektionsergebnisse abrufen. Allgemeine Informationen zum Einsatz von JSON für das Senden von Anfragen an die DLP API finden Sie in der JSON-Kurzanleitung.
JSON-Eingabe:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://[BUCKET-NAME]/*"
},
"bytesLimitPerFile":"1073741824"
},
"timespanConfig":{
"startTime":"2017-11-13T12:34:29.965633345Z",
"endTime":"2018-01-05T04:45:04.240912125Z"
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"excludeInfoTypes":false,
"includeQuote":true,
"minLikelihood":"LIKELY"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[DATASET-ID]"
}
}
}
}
]
}
}
JSON-Ausgabe:
{
"name":"projects/[PROJECT-ID]/dlpJobs/[JOB-ID]",
"type":"INSPECT_JOB",
"state":"PENDING",
"inspectDetails":{
"requestedOptions":{
"snapshotInspectTemplate":{
},
"jobConfig":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://[BUCKET-NAME]/*"
},
"bytesLimitPerFile":"1073741824"
},
"timespanConfig":{
"startTime":"2017-11-13T12:34:29.965633345Z",
"endTime":"2018-01-05T04:45:04.240912125Z"
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"minLikelihood":"LIKELY",
"limits":{
},
"includeQuote":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[DATASET-ID]",
"tableId":"[NEW-TABLE-ID]"
}
}
}
}
]
}
}
},
"createTime":"2018-11-07T18:01:14.225Z"
}
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Datastore-Art prüfen
Sie können eine Inspektion einer Datastore-Art mithilfe der Google Cloud Console, der DLP API über REST- oder RPC oder programmatisch in mehreren Programmiersprachen mithilfe einer Clientbibliothek einrichten.
So richten Sie einen Scanjob für eine Datastore-Art mithilfe des Schutzes sensibler Daten ein:
Console
So richten Sie einen Scanjob für eine Datastore-Art mithilfe des Schutzes sensibler Daten ein:
Rufen Sie in der Google Cloud Console im Bereich „Schutz sensibler Daten“ die Seite Job oder Jobtrigger erstellen auf.
Geben Sie die Informationen zum Job zum Schutz vertraulicher Daten ein und klicken Sie auf Weiter, um die einzelnen Schritte auszuführen:
Geben Sie für Schritt 1: Eingabedaten auswählen die Kennungen für das Projekt, den Namespace (optional) und die Art ein, die Sie scannen möchten. Weitere Informationen finden Sie unter Eingabedaten auswählen.
(Optional) Für Schritt 2: Erkennung konfigurieren können Sie festlegen, nach welchen Datentypen (infoTypes) gesucht werden soll. Sie haben die Möglichkeit, einen vordefinierten infoType aus der Liste oder eine Vorlage (sofern vorhanden) auszuwählen. Weitere Informationen finden Sie unter Erkennung konfigurieren.
(Optional) Achten Sie darauf, dass für Schritt 3: Aktionen hinzufügen die Option Per E-Mail benachrichtigen aktiviert ist.
Aktivieren Sie In BigQuery speichern, um die Ergebnisse zum Schutz sensibler Daten in einer BigQuery-Tabelle zu veröffentlichen. Machen Sie folgende Angaben:
- Geben Sie als Projekt-ID die Projekt-ID ein, unter der Ihre Ergebnisse gespeichert werden.
- Geben Sie als Dataset-ID den Namen des Datasets ein, in dem Ihre Ergebnisse gespeichert werden.
- (Optional) Geben Sie als Tabellen-ID den Namen der Tabelle ein, in der Ihre Ergebnisse gespeichert werden. Wenn Sie keine Tabellen-ID angeben, wird neuen Tabellen ein Standardname wie beispielsweise
dlp_googleapis_[DATE]_1234567890
zugewiesen. Bei Angabe einer vorhandenen Tabelle werden die Ergebnisse an diese angehängt.
Wenn Daten in eine BigQuery-Tabelle geschrieben werden, werden die Abrechnung und Kontingentnutzung auf das Projekt angewendet, das die Zieltabelle enthält.
Weitere Informationen zu den anderen aufgeführten Aktionen finden Sie unter Aktionen hinzufügen.
(Optional) Konfigurieren Sie für Schritt 4: Zeitplan eine Zeitspanne oder einen Zeitplan. Wählen Sie dazu entweder Zeitspanne angeben oder Trigger zum Ausführen des Jobs nach einem regelmäßigen Zeitplan erstellen aus. Weitere Informationen finden Sie unter Zeitplan.
Klicken Sie auf Erstellen.
Nach Abschluss des Jobs zum Schutz sensibler Daten werden Sie zur Seite mit den Jobdetails weitergeleitet und per E-Mail benachrichtigt. Sie können sich die Ergebnisse der Inspektion auf der Seite mit den Jobdetails ansehen.
Optional: Wenn Sie Ergebnisse zum Schutz sensibler Daten in BigQuery veröffentlichen möchten, klicken Sie auf der Seite Jobdetails auf Ergebnisse in BigQuery abrufen, um die Tabelle in der BigQuery-Web-UI zu öffnen. Anschließend können Sie die Tabelle abfragen und Ihre Ergebnisse analysieren. Weitere Informationen zum Abfragen Ihrer Ergebnisse in BigQuery finden Sie unter Ergebnisse zum Schutz sensibler Daten in BigQuery abfragen.
Protokoll
Es folgt ein JSON-Beispiel, das in einer POST-Anfrage an den angegebenen DLP API-REST-Endpunkt gesendet werden kann. In diesem JSON-Beispiel wird gezeigt, wie Sie Datastore-Arten mit der DLP API prüfen. Informationen zu den Parametern, die in der Anfrage enthalten sind, finden Sie weiter unten im Abschnitt Speicherinspektion konfigurieren.
Sie können dies in APIs Explorer auf der Referenzseite für dlpJobs.create
schnell ausprobieren:
Beachten Sie, dass bei erfolgreicher Ausführung einer Anfrage ein neuer Scanjob erstellt wird, auch in APIs Explorer. Informationen zum Steuern von Scanjobs finden Sie weiter unten im Abschnitt Inspektionsergebnisse abrufen. Allgemeine Informationen zum Einsatz von JSON für das Senden von Anfragen an die DLP API finden Sie in der JSON-Kurzanleitung.
JSON-Eingabe:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"datastoreOptions":{
"kind":{
"name":"Example-Kind"
},
"partitionId":{
"namespaceId":"[NAMESPACE-ID]",
"projectId":"[PROJECT-ID]"
}
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"excludeInfoTypes":false,
"includeQuote":true,
"minLikelihood":"LIKELY"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[BIGQUERY-DATASET-NAME]",
"tableId":"[BIGQUERY-TABLE-NAME]"
}
}
}
}
]
}
}
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Eine BigQuery-Tabelle untersuchen
Sie können eine Prüfung einer BigQuery-Tabelle mithilfe des Schutzes sensibler Daten über REST-Anfragen oder programmatisch in mehreren Programmiersprachen mithilfe einer Clientbibliothek einrichten.
So richten Sie einen Scanjob für eine BigQuery-Tabelle mithilfe des Schutzes sensibler Daten ein:
Console
So richten Sie einen Scanjob für eine BigQuery-Tabelle mithilfe des Schutzes sensibler Daten ein:
Rufen Sie in der Google Cloud Console im Bereich „Schutz sensibler Daten“ die Seite Job oder Jobtrigger erstellen auf.
Geben Sie die Informationen zum Job zum Schutz vertraulicher Daten ein und klicken Sie auf Weiter, um die einzelnen Schritte auszuführen:
Geben Sie für Schritt 1: Eingabedaten auswählen einen Namen für den Job im Feld Name ein. Wählen Sie unter Speicherort im Menü Speichertyp die Option "BigQuery" aus und geben Sie die Informationen für die zu scannende Tabelle ein.
Der Bereich Probenahme ist zur Ausführung eines Beispielscans für Ihre Daten vorkonfiguriert. Sie können die Felder Zeilen beschränken durch und Maximale Zeilenanzahl anpassen, um bei großen Datenmengen Ressourcen zu sparen. Weitere Informationen finden Sie unter Eingabedaten auswählen.
Optional: Wenn Sie jeden Befund mit der Zeile verknüpfen möchten, die ihn enthält, legen Sie das Feld Identifizierende Felder fest.
Geben Sie die Namen der Spalten ein, mit denen jede Zeile in der Tabelle eindeutig identifiziert wird. Verwenden Sie ggf. Punkte, um verschachtelte Felder anzugeben. Sie können beliebig viele Felder hinzufügen.
Außerdem müssen Sie die Aktion In BigQuery speichern aktivieren, um die Ergebnisse nach BigQuery zu exportieren. Wenn die Ergebnisse nach BigQuery exportiert werden, enthält jedes Ergebnis die entsprechenden Werte der identifizierenden Felder. Weitere Informationen finden Sie unter
identifyingFields
.(Optional) Für Schritt 2: Erkennung konfigurieren können Sie festlegen, nach welchen Datentypen (infoTypes) gesucht werden soll. Sie haben die Möglichkeit, einen vordefinierten infoType aus der Liste oder eine Vorlage (sofern vorhanden) auszuwählen. Weitere Informationen finden Sie unter Erkennung konfigurieren.
(Optional) Achten Sie darauf, dass für Schritt 3: Aktionen hinzufügen die Option Per E-Mail benachrichtigen aktiviert ist.
Aktivieren Sie In BigQuery speichern, um die Ergebnisse zum Schutz sensibler Daten in einer BigQuery-Tabelle zu veröffentlichen. Machen Sie folgende Angaben:
- Geben Sie als Projekt-ID die Projekt-ID ein, unter der Ihre Ergebnisse gespeichert werden.
- Geben Sie als Dataset-ID den Namen des Datasets ein, in dem Ihre Ergebnisse gespeichert werden.
- (Optional) Geben Sie als Tabellen-ID den Namen der Tabelle ein, in der Ihre Ergebnisse gespeichert werden. Wenn Sie keine Tabellen-ID angeben, wird neuen Tabellen ein Standardname wie beispielsweise
dlp_googleapis_[DATE]_1234567890
zugewiesen. Bei Angabe einer vorhandenen Tabelle werden die Ergebnisse an diese angehängt.
Wenn Daten in eine BigQuery-Tabelle geschrieben werden, werden die Abrechnung und Kontingentnutzung auf das Projekt angewendet, das die Zieltabelle enthält.
Sie können die Ergebnisse auch in Pub/Sub, Security Command Center und Data Catalog speichern. Weitere Informationen finden Sie unter Aktionen hinzufügen.
(Optional) Übernehmen Sie für Schritt 4: Zeitplan die Menüoption Keiner, wenn der Scan nur einmal ausgeführt werden soll. Klicken Sie auf Trigger zum Ausführen des Jobs nach einem regelmäßigen Zeitplan erstellen, um die regelmäßige Ausführung von Scans zu planen. Weitere Informationen finden Sie unter Zeitplan.
Klicken Sie auf Erstellen.
Nach Abschluss des Jobs zum Schutz sensibler Daten werden Sie zur Seite mit den Jobdetails weitergeleitet und per E-Mail benachrichtigt. Sie können sich die Ergebnisse der Inspektion auf der Seite mit den Jobdetails ansehen.
Optional: Wenn Sie Ergebnisse zum Schutz sensibler Daten in BigQuery veröffentlichen möchten, klicken Sie auf der Seite Jobdetails auf Ergebnisse in BigQuery abrufen, um die Tabelle in der BigQuery-Web-UI zu öffnen. Anschließend können Sie die Tabelle abfragen und Ihre Ergebnisse analysieren. Weitere Informationen zum Abfragen Ihrer Ergebnisse in BigQuery finden Sie unter Ergebnisse zum Schutz sensibler Daten in BigQuery abfragen.
Protokoll
Es folgt ein JSON-Beispiel, das in einer POST-Anfrage an den angegebenen DLP API-REST-Endpunkt gesendet werden kann. In diesem JSON-Beispiel wird veranschaulicht, wie die DLP API zum Prüfen von BigQuery-Tabellen verwendet wird. Informationen zu den Parametern, die in der Anfrage enthalten sind, finden Sie weiter unten im Abschnitt Speicherinspektion konfigurieren.Sie können dies in APIs Explorer auf der Referenzseite für dlpJobs.create
schnell ausprobieren:
Beachten Sie, dass bei erfolgreicher Ausführung einer Anfrage ein neuer Scanjob erstellt wird, auch in APIs Explorer. Informationen zum Steuern von Scanjobs finden Sie weiter unten im Abschnitt Inspektionsergebnisse abrufen. Allgemeine Informationen zum Einsatz von JSON für das Senden von Anfragen an die DLP API finden Sie in der JSON-Kurzanleitung.
JSON-Eingabe:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"bigQueryOptions":{
"tableReference":{
"projectId":"[PROJECT-ID]",
"datasetId":"[BIGQUERY-DATASET-NAME]",
"tableId":"[BIGQUERY-TABLE-NAME]"
},
"identifyingFields":[
{
"name":"id"
}
]
},
"timespanConfig":{
"startTime":"2017-11-13T12:34:29.965633345Z ",
"endTime":"2018-01-05T04:45:04.240912125Z "
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
}
],
"excludeInfoTypes":false,
"includeQuote":true,
"minLikelihood":"LIKELY"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[BIGQUERY-DATASET-NAME]",
"tableId":"[BIGQUERY-TABLE-NAME]"
},
"outputSchema": "BASIC_COLUMNS"
}
}
}
]
}
}
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Speicherinspektion konfigurieren
Zum Prüfen eines Cloud Storage-Speicherorts, einer Datastore-Art oder einer BigQuery-Tabelle senden Sie eine Anfrage an die Methode projects.dlpJobs.create
der DLP API. Diese Anfrage muss mindestens den Speicherort der zu scannenden Daten enthalten und angeben, wonach gesucht wird. Über diese erforderlichen Parameter hinaus können Sie auch angeben, wo die Scanergebnisse, Größen- und Wahrscheinlichkeitsschwellenwerte und mehr gespeichert werden sollen. Eine erfolgreiche Anfrage führt zum Erstellen einer DlpJob
-Objektinstanz, die unter Inspektionsergebnisse abrufen beschrieben wird.
Die verfügbaren Konfigurationsoptionen sind hier zusammengefasst:
Objekt
InspectJobConfig
: Enthält die Konfigurationsinformationen für den Inspektionsjob. Das ObjektInspectJobConfig
wird auch vom ObjektJobTriggers
verwendet, um das Erstellen vonDlpJob
s zu planen. Dieses Objekt beinhaltet:Objekt
StorageConfig
: Erforderlich. Enthält Details zu dem zu prüfenden Speicher-Repository:Je nach Typ des gescannten Speicher-Repositorys muss eines der folgenden Objekte im Objekt
StorageConfig
enthalten sein:Objekt
CloudStorageOptions
: Enthält Informationen zum Cloud Storage-Bucket, der gescannt werden soll.Objekt
DatastoreOptions
: Enthält Informationen zum Datastore-Dataset, das gescannt werden soll.Objekt
BigQueryOptions
: Enthält Informationen zur BigQuery-Tabelle, die gescannt werden soll, und optional zu den Identifikationsfeldern. Dieses Objekt ermöglicht auch Ergebnisstichproben. Weitere Informationen finden Sie unten im Abschnitt Menge des zu prüfenden Inhalts beschränken.Objekt
TimespanConfig
: Optional. Gibt die Zeitspanne der Elemente an, die in den Scan einbezogen werden sollen.
Objekt
InspectConfig
: Erforderlich. Gibt an, wonach gesucht werden soll, zum Beispiel infoTypes und Wahrscheinlichkeitswerte.- Objekte vom Typ
InfoType
: Erforderlich. Ein oder mehrere infoType-Werte, nach denen gesucht werden soll. - Enum
Likelihood
: Optional. Wenn ein Wert festgelegt ist, gibt der Schutz sensibler Daten nur Ergebnisse zurück, die mindestens diesem Wahrscheinlichkeitsschwellenwert entsprechen. Wird diese Enum weggelassen, ist der StandardwertPOSSIBLE
. - Objekt
FindingLimits
: Optional. Wenn dieses Objekt festgelegt ist, können Sie ein Limit für die Anzahl der zurückgegebenen Ergebnisse angeben. - Parameter
includeQuote
: Optional. Die Standardeinstellung istfalse
. Wenn dieser Parameter auftrue
festgelegt ist, enthält jedes Ergebnis ein kontextbezogenes Zitat aus den Daten, die es ausgelöst haben. - Parameter
excludeInfoTypes
: Optional. Die Standardeinstellung istfalse
. Wenn dieser Parameter auftrue
festgelegt ist, sind in den Scanergebnissen keine Typinformationen für die Treffer enthalten. - Objekte vom Typ
CustomInfoType
: Ein oder mehrere benutzerdefinierte, vom Nutzer erstellte infoTypes. Weitere Informationen zum Erstellen von benutzerdefinierten infoTypes finden Sie unter Benutzerdefinierte infoType-Detektoren erstellen.
- Objekte vom Typ
String
inspectTemplateName
: Optional. Gibt eine Vorlage an, die zum Einfügen von Standardwerten imInspectConfig
-Objekt verwendet werden soll. Wenn SieInspectConfig
bereits angegeben haben, werden die Vorlagenwerte zusammengeführt.Objekte vom Typ
Action
: Optional. Eine oder mehrere Aktionen, die nach Abschluss des Jobs ausgeführt werden sollen. Die Aktionen werden in der Reihenfolge ihrer Auflistung ausgeführt. Hier geben Sie an, wo Ergebnisse zu speichern sind oder ob eine Benachrichtigung für ein Pub/Sub-Thema veröffentlicht werden soll.
jobId
: Optional. Eine Kennung für den Job, der von Sensitive Data Protection zurückgegeben wird. WennjobId
weggelassen wird oder leer ist, erstellt das System eine ID für den Job. Wenn angegeben, wird dem Job dieser ID-Wert zugewiesen. Die Job-ID darf nur einmal vorkommen und kann Groß- und Kleinbuchstaben, Ziffern und Bindestriche enthalten. Das heißt, sie muss dem folgenden regulären Ausdruck entsprechen:[a-zA-Z\\d-]+
.
Umfang des zu prüfenden Inhalts beschränken
Wenn Sie BigQuery-Tabellen oder Cloud Storage-Buckets scannen, bietet der Schutz sensibler Daten eine Möglichkeit, eine Teilmenge des Datasets zu scannen. Dadurch erhalten Sie eine Probenahme von Scanergebnissen ohne die potenziellen Kosten für das Scannen eines gesamten Datasets.
Die folgenden Abschnitte enthalten Informationen zur Größenbeschränkung von Cloud Storage-Scans und BigQuery-Scans.
Cloud Storage-Scans beschränken
Durch Begrenzung der geprüften Datenmenge können Sie Stichproben in Cloud Storage aktivieren. Sie können die DLP API anweisen, nur Dateien mit einer bestimmten Maximalgröße, nur bestimmte Dateitypen und nur einen bestimmten Prozentsatz der Gesamtzahl der Dateien im Eingabedateisatz zu prüfen. Geben Sie dazu die folgenden optionalen Felder in CloudStorageOptions
an:
bytesLimitPerFile
: Legt die maximale Anzahl von Byte fest, die aus einer Datei gescannt werden sollen. Wenn die Größe einer gescannten Datei diesen Wert überschreitet, wird der Rest der Byte ausgelassen. Die Einstellung dieses Felds hat keine Auswirkungen auf bestimmte Dateitypen. Weitere Informationen finden Sie unter Limits für die Anzahl der pro Datei gescannten Bytes.fileTypes[]
: Listet dieFileTypes
auf, die im Scan enthalten sein sollen. Dies kann für einen oder mehrere der folgenden Enum-Typen festgelegt werden:filesLimitPercent
: Beschränkt die Anzahl der zu scannenden Dateien auf den angegebenen Prozentsatz des Eingabe-FileSet
. Die Angabe von0
oder100
bedeutet, dass es kein Limit gibt.sampleMethod
: Wie die Probenahme der Byte erfolgen soll, wenn nicht alle Byte gescannt werden. Die Angabe dieses Werts ist nur sinnvoll, wenn er in Verbindung mitbytesLimitPerFile
verwendet wird. Wenn nicht angegeben, beginnt der Scan von oben. Dieses Feld kann auf einen von zwei Werten festgelegt werden:TOP
: Das Scannen beginnt von oben.RANDOM_START
: Für jede Datei, deren Größe die inbytesLimitPerFile
angegebene Größe überschreitet, wird ein zufälliger Offset zum Starten des Scans ausgewählt. Die geprüften Byte sind zusammenhängend.
In den folgenden Beispielen wird gezeigt, wie Sie mit der DLP API in einer 90 %-igen Teilmenge eines Cloud Storage-Bucket nach Personennamen suchen. Der Scan beginnt an einer zufälligen Position im Datensatz und berücksichtigt nur Textdateien mit weniger als 200 Byte.
C#
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST
JSON-Eingabe:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://[BUCKET-NAME]/*"
},
"bytesLimitPerFile":"200",
"fileTypes":[
"TEXT_FILE"
],
"filesLimitPercent":90,
"sampleMethod":"RANDOM_START"
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"excludeInfoTypes":true,
"includeQuote":true,
"minLikelihood":"POSSIBLE"
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"testingdlp"
},
"outputSchema":"BASIC_COLUMNS"
}
}
}
]
}
}
Nachdem die JSON-Eingabe in einer POST-Anfrage an den angegebenen Endpunkt gesendet wurde, wird ein Job zum Schutz sensibler Daten erstellt und die API sendet die folgende Antwort.
JSON-Ausgabe:
{
"name":"projects/[PROJECT-ID]/dlpJobs/[JOB-ID]",
"type":"INSPECT_JOB",
"state":"PENDING",
"inspectDetails":{
"requestedOptions":{
"snapshotInspectTemplate":{
},
"jobConfig":{
"storageConfig":{
"cloudStorageOptions":{
"fileSet":{
"url":"gs://[BUCKET_NAME]/*"
},
"bytesLimitPerFile":"200",
"fileTypes":[
"TEXT_FILE"
],
"sampleMethod":"TOP",
"filesLimitPercent":90
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"PERSON_NAME"
}
],
"minLikelihood":"POSSIBLE",
"limits":{
},
"includeQuote":true,
"excludeInfoTypes":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"[DATASET-ID]",
"tableId":"[TABLE-ID]"
},
"outputSchema":"BASIC_COLUMNS"
}
}
}
]
}
}
},
"createTime":"2018-05-30T22:22:08.279Z"
}
BigQuery-Scans beschränken
Geben Sie die folgenden optionalen Felder in BigQueryOptions
an, um die Probenahme in BigQuery durch Beschränkung der zu scannenden Datenmenge zu aktivieren:
rowsLimit
: Die maximale Anzahl der zu scannenden Zeilen. Wenn die Tabelle mehr Zeilen hat als diesen Wert, wird der Rest der Zeilen ausgelassen. Wenn das Feld nicht oder mit 0 festgelegt ist, werden alle Zeilen gescannt.rowsLimitPercent
: Der maximale Prozentsatz der zu scannenden Zeilen (zwischen 0 und 100). Die restlichen Zeilen werden weggelassen. Wenn Sie diesen Wert auf 0 oder 100 setzen, bedeutet das, dass es kein Limit gibt. Der Standardwert ist 0. Es kann nurrowsLimit
oderrowsLimitPercent
angegeben werden.sampleMethod
: Wie die Probenahme der Zeilen erfolgt, wenn nicht alle Zeilen gescannt werden. Wenn nicht angegeben, beginnt der Scan von oben. Für dieses Feld kann einer der zwei Werte festgelegt werden:TOP
: Das Scannen beginnt von oben.RANDOM_START
: Das Scannen beginnt mit einer zufällig ausgewählten Zeile.
excludedFields
: Tabellenfelder, mit denen Spalten eindeutig identifiziert werden, die vom Lesen ausgeschlossen werden sollen. Dies kann die Menge der gescannten Daten reduzieren und damit die Gesamtkosten eines Inspektionsjobs senken.includedFields
: Tabellenfelder, die bestimmte Zeilen in der zu scannenden Tabelle eindeutig identifizieren.
Ein weiteres nützliches Feature zum Beschränken der zu scannenden Daten, insbesondere beim Scannen von partitionierten Tabellen, ist TimespanConfig
.
Mit TimespanConfig
können Sie durch Angabe von Start- und Endwerten eine Zeitspanne definieren, um BigQuery-Tabellenzeilen herauszufiltern. Sensitive Data Protection scannt dann nur Zeilen, die einen Zeitstempel innerhalb dieser Zeitspanne enthalten.
In den folgenden Beispielen wird gezeigt, wie Sie mit der DLP API eine Teilmenge von 1.000 Zeilen einer BigQuery-Tabelle scannen. Der Scan beginnt mit einer zufälligen Zeile.
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST
JSON-Eingabe:
POST https://dlp.googleapis.com/v2/projects/[PROJECT-ID]/dlpJobs?key={YOUR_API_KEY}
{
"inspectJob":{
"storageConfig":{
"bigQueryOptions":{
"tableReference":{
"projectId":"bigquery-public-data",
"datasetId":"usa_names",
"tableId":"usa_1910_current"
},
"rowsLimit":"1000",
"sampleMethod":"RANDOM_START",
"includedFields":[
{
"name":"name"
}
]
}
},
"inspectConfig":{
"infoTypes":[
{
"name":"FIRST_NAME"
}
],
"includeQuote":true
},
"actions":[
{
"saveFindings":{
"outputConfig":{
"table":{
"projectId":"[PROJECT-ID]",
"datasetId":"testingdlp",
"tableId":"bqsample3"
},
"outputSchema":"BASIC_COLUMNS"
}
}
}
]
}
}
Nachdem die JSON-Eingabe in einer POST-Anfrage an den angegebenen Endpunkt gesendet wurde, wird ein Job zum Schutz sensibler Daten erstellt und die API sendet die folgende Antwort.
JSON-Ausgabe:
{
"name": "projects/[PROJECT-ID]/dlpJobs/[JOB-ID]",
"type": "INSPECT_JOB",
"state": "PENDING",
"inspectDetails": {
"requestedOptions": {
"snapshotInspectTemplate": {},
"jobConfig": {
"storageConfig": {
"bigQueryOptions": {
"tableReference": {
"projectId": "bigquery-public-data",
"datasetId": "usa_names",
"tableId": "usa_1910_current"
},
"rowsLimit": "1000",
"sampleMethod": "RANDOM_START",
"includedFields": [
{
"name": "name"
}
]
}
},
"inspectConfig": {
"infoTypes": [
{
"name": "FIRST_NAME"
}
],
"limits": {},
"includeQuote": true
},
"actions": [
{
"saveFindings": {
"outputConfig": {
"table": {
"projectId": "[PROJECT-ID]",
"datasetId": "[DATASET-ID]",
"tableId": "bqsample"
},
"outputSchema": "BASIC_COLUMNS"
}
}
}
]
}
},
"result": {}
},
"createTime": "2022-11-04T18:53:48.350Z"
}
Wenn der Inspektionsjob abgeschlossen ist und die Ergebnisse von BigQuery verarbeitet wurden, stehen die Ergebnisse des Scans in der angegebenen BigQuery-Ausgabetabelle zur Verfügung. Weitere Informationen zum Abrufen von Inspektionsergebnissen finden Sie im nächsten Abschnitt.
Inspektionsergebnisse abrufen
Mit der Methode projects.dlpJobs.get
können Sie eine Zusammenfassung eines DlpJob
abrufen. Der zurückgegebene DlpJob
enthält sein InspectDataSourceDetails
-Objekt, das sowohl eine Zusammenfassung der Jobkonfiguration (RequestedOptions
) als auch eine Zusammenfassung des Jobergebnisses (Result
) enthält. Die Zusammenfassung der Ergebnisse enthält Folgendes:
processedBytes
: Die verarbeitete Gesamtgröße in Byte.totalEstimatedBytes
: Die geschätzte Anzahl der noch zu verarbeitenden Byte.- Objekt
InfoTypeStatistics
: Statistiken dazu, wie viele Instanzen jedes infoTypes während des Inspektionsjobs gefunden wurden.
Für vollständige Ergebnisse von Inspektionsjobs haben Sie mehrere Möglichkeiten. Je nach ausgewählter Action
werden Inspektionsjobs:
- in BigQuery (Objekt
SaveFindings
) in der angegebenen Tabelle gespeichert. Bevor Sie die Ergebnisse anzeigen oder analysieren, prüfen Sie mithilfe der Methodeprojects.dlpJobs.get
, ob der Job beendet ist. Diese Methode ist nachfolgend beschrieben. Mit dem ObjektOutputSchema
können Sie ein Schema zum Speichern von Ergebnissen angeben. - in einem Pub/Sub-Thema (Objekt
PublishToPubSub
) veröffentlicht. Das Thema muss dem Dienstkonto für den Schutz sensibler Daten, das denDlpJob
ausführt, von dem die Benachrichtigungen gesendet werden, die Zugriffsberechtigung für Veröffentlichungen erteilt haben. - Sie wurden im Security Command Center veröffentlicht.
- Sie wurden im Data Catalog veröffentlicht.
- In Cloud Monitoring veröffentlicht.
Zur Erleichterung beim Durchsuchen großer Datenmengen, die vom Schutz sensibler Daten generiert werden, können Sie mithilfe von integrierten BigQuery-Tools umfangreiche SQL-Analysen oder Tools wie Looker Studio zum Generieren von Berichten ausführen. Weitere Informationen finden Sie unter Ergebnisse zum Schutz sensibler Daten analysieren und in Berichte aufnehmen. Einige Beispielabfragen finden Sie unter Ergebnisse in BigQuery abfragen.
Wenn Sie eine Anfrage für eine Speicher-Repository-Inspektion an den Schutz sensibler Daten senden, wird als Antwort eine DlpJob
-Objektinstanz erstellt und ausgeführt. Die Ausführung dieser Jobs kann abhängig von der Größe Ihrer Daten und der von Ihnen angegebenen Konfiguration Sekunden, Minuten oder Stunden dauern. Wenn Sie zur Veröffentlichung in einem Pub/Sub-Thema PublishToPubSub
in Action
angeben, werden automatisch Benachrichtigungen an das Thema mit dem angegebenen Namen gesendet, wenn sich der Status des Jobs ändert. Der Name des Pub/Sub-Themas wird im Format projects/[PROJECT-ID]/topics/[PUBSUB-TOPIC-NAME]
angegeben.
Sie haben die volle Kontrolle über die von Ihnen erstellten Jobs, einschließlich der folgenden Verwaltungsmethoden:
- Methode
projects.dlpJobs.cancel
: Beendet einen Job, der gerade ausgeführt wird. Der Server unternimmt alles, um den Job abzubrechen, aber der Erfolg kann nicht garantiert werden.Der Job und seine Konfiguration bleiben bestehen, bis Sie ihn löschen. - Methode
projects.dlpJobs.delete
: Löscht einen Job und seine Konfiguration. - Methode
projects.dlpJobs.get
: Ruft einen einzelnen Job ab und gibt seinen Status, seine Konfiguration und bei Abschluss des Jobs eine Zusammenfassung der Ergebnisse zurück. - Methode
projects.dlpJobs.list
: Ruft eine Liste aller Jobs ab und bietet die Möglichkeit, Ergebnisse zu filtern.
Nächste Schritte
- Weitere Informationen zum Erstellen von Speicherinspektionsjobs finden Sie unter Inspektionsjobs für den Schutz sensibler Daten erstellen und planen.
- Weitere Informationen zum Erstellen einer de-identifizierten Kopie von Daten im Speicher
- Weitere Informationen zu unterstützten Dateitypen beim Prüfen von Cloud Storage-Buckets finden Sie unter Unterstützte Dateitypen.