Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Diese Seite wurde von der Cloud Translation API übersetzt.

Amazon S3-Daten profilieren

Auf dieser Seite wird beschrieben, wie Sie die Sensitive Data Protection-Erkennung für Amazon S3 konfigurieren.

Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.

Diese Funktion ist nur für Kunden verfügbar, die Security Command Center auf Enterprise-Ebene aktiviert haben.

Hinweise

Erstellen Sie in Security Command Center einen Connector für Amazon Web Services (AWS). Lassen Sie das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren aktiviert. Zum Erstellen von Profilen für Ihre Amazon S3-Daten sind diese Berechtigungen für Sensitive Data Protection erforderlich.

Wenn Sie bereits einen Connector haben, bei dem Berechtigungen für die Sensitive Data Protection-Erkennung gewähren nicht ausgewählt ist, lesen Sie den Abschnitt Berechtigungen für die Erkennung sensibler Daten für einen vorhandenen AWS-Connector gewähren.
Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Organisationsebene erforderlich sind.

Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss jedoch eine Person mit einer dieser Rollen Ihrem Dienst-Agent Zugriff auf die Datenprofilerstellung gewähren.
Prüfen Sie, ob Sie eine Inspektionsvorlage in der Region global oder in der Region haben, in der Sie die Erkennungsscankonfiguration und alle generierten Datenprofile speichern möchten.

Mit dieser Aufgabe können Sie automatisch eine Inspektionsvorlage nur in der Region global erstellen. Wenn Sie aufgrund von Organisationsrichtlinien keine Inspektionsvorlage in der Region global erstellen können, müssen Sie vor dieser Aufgabe eine Inspektionsvorlage in der Region erstellen, in der Sie die Konfiguration des Erkennungsscans speichern möchten.
Wenn Sie Pub/Sub-Benachrichtigungen an ein Thema senden möchten, wenn bestimmte Ereignisse eintreten, z. B. wenn der Schutz sensibler Daten ein Profil für einen neuen Bucket erstellt, erstellen Sie ein Pub/Sub-Thema, bevor Sie diese Aufgabe ausführen.

Zum Generieren von Datenprofilen benötigen Sie einen Dienst-Agent-Container und einen Dienst-Agent darin. Mit dieser Aufgabe können Sie sie automatisch erstellen.

Scankonfiguration erstellen

Rufen Sie die Seite Scankonfiguration erstellen auf.

Zur Seite „Scankonfiguration erstellen”
Rufen Sie Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihre Organisation aus.

In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scan-Konfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.

Erkennungstyp auswählen

Wählen Sie Amazon S3 aus.

Bereich auswählen

Führen Sie einen der folgenden Schritte aus:

Wenn Sie alle S3-Daten scannen möchten, auf die Ihr AWS-Connector Zugriff hat, wählen Sie Alle über Ihren Connector verfügbaren AWS-Konten scannen aus.
Wenn Sie die S3-Daten in einem einzelnen AWS-Konto scannen möchten, wählen Sie Ausgewähltes Konto scannen aus. Geben Sie die AWS-Konto-ID ein.
Wenn Sie einen einzelnen S3-Bucket scannen möchten, wählen Sie Einen Bucket scannen aus. Geben Sie die ID des AWS-Kontos ein, das den Bucket enthält, und geben Sie den Bucket-Namen ein.

Pläne verwalten

Wenn die Standardhäufigkeit für das Profiling Ihren Anforderungen entspricht, können Sie diesen Abschnitt der Seite Scankonfiguration erstellen überspringen.

Konfigurieren Sie diesen Abschnitt aus folgenden Gründen:

Sie können die Häufigkeit der Profilerstellung für alle Ihre Daten oder bestimmte Teilmengen Ihrer Daten genau anpassen.
So geben Sie die Buckets an, die nicht profiliert werden sollen:
So geben Sie die Buckets an, die nicht mehr als einmal profiliert werden sollen.

So nehmen Sie detaillierte Anpassungen an der Profilerstellungshäufigkeit vor:

Klicken Sie auf Zeitplan hinzufügen.

Hinweis :Wenn Sie einen einzelnen Bucket als Umfang dieser Konfiguration ausgewählt haben, können Sie keinen Zeitplan hinzufügen. Sie können nur den Auffangzeitplan bearbeiten. Außerdem können Sie keine Filter angeben. Sie können nur die Häufigkeit und die Bedingungen für die Profilerstellung bearbeiten.
Definieren Sie im Abschnitt Filter einen oder mehrere Filter, die angeben, welche Buckets im Umfang des Zeitplans enthalten sind. Ein Bucket gilt als Teil des Zeitplans, wenn er mindestens einem der definierten Filter entspricht.

Geben Sie mindestens eine der folgenden Optionen an, um einen Filter zu konfigurieren:
- Eine Konto-ID oder ein regulärer Ausdruck, der eine oder mehrere Konto-IDs angibt
- Ein Bucket-Name oder ein regulärer Ausdruck, der einen oder mehrere Buckets angibt
Reguläre Ausdrücke müssen der RE2-Syntax entsprechen.

Wenn Sie beispielsweise alle Buckets in einem Konto in den Filter aufnehmen möchten, geben Sie die Konto-ID in das Feld Konto-ID ein.

Damit ein Bucket einem Filter entspricht, muss er alle regulären Ausdrücke erfüllen, die in diesem Filter angegeben sind.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.
Klicken Sie auf Häufigkeit.
Geben Sie im Bereich Häufigkeit an, ob die ausgewählten Gruppen profiliert werden sollen und, falls ja, wie oft:
- Wenn Sie nicht möchten, dass die Buckets jemals profiliert werden, deaktivieren Sie Do profile this data (Diese Daten profilieren).
- Wenn die Buckets mindestens einmal profiliert werden sollen, lassen Sie Do profile this data aktiviert.
  
  Geben Sie an, ob Ihre Daten neu profiliert werden sollen und welche Ereignisse einen solchen Vorgang auslösen sollen. Weitere Informationen finden Sie unter Häufigkeit der Generierung von Datenprofilen.
  1. Geben Sie für Nach Zeitplan an, wie oft die Profile der Buckets aktualisiert werden sollen. Die Gruppen werden neu profiliert, unabhängig davon, ob sich etwas geändert hat.
  2. Geben Sie für Wenn sich die Prüfungsvorlage ändert an, ob und wie oft ein neues Profil für Ihre Daten erstellt werden soll, wenn die zugehörige Prüfungsvorlage aktualisiert wird.
    Hinweis:Die Inspektionsvorlagen, die verwendet werden sollen, geben Sie auf dieser Seite im Schritt Inspektionsvorlage auswählen an.
    
    Eine Änderung an der Inspektionsvorlage wird erkannt, wenn einer der folgenden Fälle eintritt:
    - Der Name einer Inspektionsvorlage in Ihrer Scankonfiguration ändert sich.
    - Die updateTime einer Inspektionsvorlage ändert sich.
Optional: Klicken Sie auf Bedingungen.

Geben Sie im Abschnitt Bedingungen alle Bedingungen an, die die in Ihren Filtern definierten Buckets erfüllen müssen, bevor Sensitive Data Protection ein Profil für sie erstellt.

Legen Sie bei Bedarf Folgendes fest:
- Mindestbedingungen: Wenn die Profilerstellung für einen Bucket erst erfolgen soll, wenn er ein bestimmtes Alter erreicht hat, aktivieren Sie diese Option. Geben Sie dann die Mindestdauer ein.
  
  Hinweis: Wenn Sie einen einzelnen Bucket als Bereich für diese Konfiguration ausgewählt haben, können Sie diese Bedingung nicht festlegen.
- Bedingungen für Objektspeicherklassen: Standardmäßig werden mit Sensitive Data Protection alle Objekte in einem Bucket gescannt. Wenn Sie nur Objekte mit bestimmten Attributen scannen möchten, wählen Sie diese Attribute aus.
Beispielbedingungen

Angenommen, Sie haben die folgende Konfiguration:
- Mindestbedingungen
  - Mindestdauer: 24 Stunden
- Bedingungen für Objektspeicherklassen
  - Objekte mit der Objektspeicherklasse „S3 Standard“ scannen
  - Objekte mit der Speicherklasse „S3 Glacier Instant Retrieval“ scannen
In diesem Fall berücksichtigt Sensitive Data Protection nur die Buckets, die mindestens 24 Stunden alt sind. In diesen Buckets werden mit Sensitive Data Protection nur die Objekte profiliert, die in der Speicherklasse „Amazon S3 Standard“ oder „Amazon S3 Glacier Instant Retrieval“ enthalten sind.
Klicken Sie auf Fertig.
Optional: Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.
Wenn Sie die Priorität zwischen Zeitplänen festlegen möchten, ordnen Sie sie mit den Aufwärts- und Abwärtspfeilen und neu an.

Die Reihenfolge der Zeitpläne gibt an, wie Konflikte zwischen Zeitplänen behoben werden. Wenn ein Bucket mit den Filtern von zwei verschiedenen Zeitplänen übereinstimmt, wird die Profiling-Häufigkeit für diesen Bucket durch den Zeitplan bestimmt, der in der Liste der Zeitpläne weiter oben steht.

Hinweis :Wenn Ihr Ermittlungspreismodus Abo-Modus ist, hängt die Geschwindigkeit, mit der Sensitive Data Protection Profile für Ihre Daten erstellt, davon ab, wie viel Kapazität Sie erworben haben. Informationen zum Ermitteln Ihrer täglichen Profiling-Kapazität finden Sie unter Nutzung überwachen. Wenn Sie eine zu geringe Kapazität festgelegt haben, werden die Profilerstellungshäufigkeiten, die Sie in Ihren Zeitplänen festlegen, möglicherweise nicht eingehalten. Wenn ein Rückstand an Daten vorhanden ist, für die Profile erstellt werden müssen, bestimmt die Reihenfolge im Zeitplan nicht die Reihenfolge, in der Sensitive Data Protection Profile für die Daten im Rückstand erstellt. Stattdessen wird allen Datenressourcen im Bereich ein zufälliger Slot in der Warteschlange zugewiesen.
Optional: Bearbeiten oder deaktivieren Sie den Catch-all-Zeitplan.

Der letzte Zeitplan in der Liste ist der Auffangzeitplan. Dieser Zeitplan umfasst die Buckets in Ihrem ausgewählten Bereich, die keinem der von Ihnen erstellten Zeitpläne entsprechen. Für den Auffangzeitplan gilt die Standardhäufigkeit für die Profilerstellung.
- Wenn Sie den Auffangzeitplan anpassen möchten, klicken Sie auf Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.
- Wenn Sie verhindern möchten, dass Sensitive Data Protection ein Profil für Ressourcen erstellt, die vom Sammelzeitplan abgedeckt werden, deaktivieren Sie Profil der Ressourcen erstellen, die keinem benutzerdefinierten Zeitplan entsprechen.

Inspektionsvorlage auswählen

Wählen Sie eine der folgenden Optionen aus, je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten. Unabhängig davon, welche Option Sie auswählen, scannt Sensitive Data Protection Ihre Daten in der Region, in der sie gespeichert sind. Das heißt, Ihre Daten verlassen nicht ihre Ursprungsregion.

Option 1: Inspektionsvorlage erstellen

Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

Klicken Sie auf Neue Inspektionsvorlage erstellen.
Optional: Wenn Sie die Standardauswahl von infoTypes ändern möchten, klicken Sie auf infoTypes verwalten.

Weitere Informationen zum Verwalten von integrierten und benutzerdefinierten infoTypes finden Sie unter infoTypes über dieGoogle Cloud Console verwalten.

Sie müssen mindestens einen infoType auswählen, um fortzufahren.
Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global gespeichert.

Option 2: Vorhandene Inspektionsvorlage verwenden

Wählen Sie diese Option aus, wenn Sie vorhandene Inspektionsvorlagen verwenden möchten.

Klicken Sie auf Vorhandene Inspektionsvorlage wählen.
Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der Ihre Inspektionsvorlage gespeichert ist.
Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region befinden, in der Sie diese Konfiguration für den Erkennungsscan und alle generierten Datenprofile speichern möchten.

Um den Datenstandort zu berücksichtigen, verwendet Sensitive Data Protection keine Inspektionsvorlage außerhalb der Region, in der sie gespeichert ist.

So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:
1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.
  
  Inspektionsvorlagen aufrufen
2. Wechseln Sie zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.
3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.
4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat dieses Format:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. Fügen Sie auf der Seite Scankonfiguration erstellen im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.

Aktionen hinzufügen

In diesem Abschnitt wird beschrieben, wie Sie Aktionen angeben, die von Sensitive Data Protection nach dem Erstellen eines Profils für einen Bucket ausgeführt werden sollen. Diese Aktionen sind nützlich, wenn Sie aus Datenprofilen gewonnene Statistiken an andereGoogle Cloud -Dienste senden möchten.

In Google Security Operations veröffentlichen

Messwerte, die aus Datenprofilen erhoben werden, können Ihren Google Security Operations-Ergebnissen Kontext hinzufügen. Der zusätzliche Kontext kann Ihnen helfen, die wichtigsten Sicherheitsprobleme zu ermitteln, die behoben werden müssen.

Wenn Sie beispielsweise einen bestimmten Dienst-Agent untersuchen, kann Google Security Operations ermitteln, auf welche Ressourcen der Dienst-Agent zugegriffen hat und ob einige dieser Ressourcen vertrauliche Daten enthalten.

Wenn Sie Ihre Datenprofile an Ihre Google Security Operations-Instanz senden möchten, aktivieren Sie In Google Security Operations veröffentlichen.

Wenn für Ihre Organisation keine Google Security Operations-Instanz aktiviert ist – weder über das Standalone-Produkt noch über Security Command Center Enterprise –, hat das Aktivieren dieser Option keine Auswirkungen.

In Security Command Center veröffentlichen

Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Ihre Ergebnisse zu Sicherheitslücken und Bedrohungen in Security Command Center priorisieren und Reaktionspläne entwickeln.

Wenn Sie die Ergebnisse Ihrer Datenprofile an Security Command Center senden möchten, muss die Option In Security Command Center veröffentlichen aktiviert sein.

Weitere Informationen finden Sie unter Datenprofile in Security Command Center veröffentlichen.

Datenprofilkopien in BigQuery speichern

Sensitive Data Protection speichert eine Kopie jedes generierten Datenprofils in einer BigQuery-Tabelle. Wenn Sie keine Details zu Ihrer bevorzugten Tabelle angeben, erstellt Sensitive Data Protection ein Dataset und eine Tabelle im Service-Agent-Container. Standardmäßig heißt das Dataset sensitive_data_protection_discovery und die Tabelle discovery_profiles.

Mit dieser Option können Sie einen Verlauf aller generierten Profile speichern. Dieser Verlauf kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht ansehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Sie können sich die Datenprofile zwar auch über dieGoogle Cloud Console ansehen, dort werden die Profile jedoch jeweils nur in einer Region angezeigt.

Wenn Sensitive Data Protection die Erstellung eines Profils für einen Bucket misslingt, wird der Versuch regelmäßig wiederholt. Um das Rauschen in den exportierten Daten zu minimieren, exportiert Sensitive Data Protection nur erfolgreich generierte Profile nach BigQuery.

Sensitive Data Protection beginnt mit dem Exportieren von Profilen, sobald Sie diese Option aktivieren. Profile, die vor dem Aktivieren des Exports generiert wurden, werden nicht in BigQuery gespeichert.

Beispielabfragen, die Sie bei der Analyse von Datenprofilen verwenden können, finden Sie unter Datenprofile analysieren.

Beispielergebnisse für die Erkennung in BigQuery speichern

Der Schutz sensibler Daten kann Beispielergebnisse in eine BigQuery-Tabelle Ihrer Wahl einfügen. Die Beispielfunde stellen eine Teilmenge aller Funde dar und enthalten möglicherweise nicht alle erkannten infoTypes. Normalerweise generiert das System etwa 10 Beispielfunde pro Bucket. Diese Anzahl kann jedoch für jeden Erkennungslauf variieren.

Jedes Ergebnis enthält den erkannten String (auch Zitat genannt) und seinen genauen Speicherort.

Diese Aktion ist nützlich, wenn Sie prüfen möchten, ob Ihre Prüfungskonfiguration dem Typ von Informationen entspricht, die Sie als vertraulich kennzeichnen möchten. Mithilfe der exportierten Datenprofile und der exportierten Beispielfunde können Sie Abfragen ausführen, um weitere Informationen zu den spezifischen Elementen zu erhalten, die gekennzeichnet wurden, den InfoTypes, die übereinstimmten, den genauen Speicherorten, den berechneten Sensitivitätsstufen und anderen Details.

Für dieses Beispiel müssen sowohl Datenprofilkopien in BigQuery speichern als auch Beispielergebnisse für die Erkennung in BigQuery speichern aktiviert sein.

In der folgenden Abfrage wird ein INNER JOIN-Vorgang sowohl für die Tabelle mit exportierten Datenprofilen als auch für die Tabelle mit exportierten Beispielergebnissen verwendet. In der resultierenden Tabelle enthält jeder Datensatz das Zitat des Ergebnisses, den InfoType, mit dem es übereinstimmt, die Ressource, die das Ergebnis enthält, und das berechnete Sensitivitätsniveau der Ressource.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

So speichern Sie Beispielergebnisse in einer BigQuery-Tabelle:

Aktivieren Sie Beispielergebnisse für die Erkennung in BigQuery speichern.
Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Beispielergebnisse speichern möchten.

Die Tabelle, die Sie für diese Aktion angeben, muss sich von der Tabelle unterscheiden, die für die Aktion Datenprofilkopien in BigQuery speichern verwendet wird.
- Geben Sie als Projekt-ID die ID eines vorhandenen Projekts ein, in das Sie die Ergebnisse exportieren möchten.
- Geben Sie als Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein.
- Geben Sie für Tabellen-ID den Namen der BigQuery-Tabelle ein, in der Sie die Ergebnisse speichern möchten. Wenn diese Tabelle nicht vorhanden ist, wird sie von Sensitive Data Protection automatisch mit dem von Ihnen angegebenen Namen erstellt.

Informationen zum Inhalt der einzelnen Ergebnisse, die in der BigQuery-Tabelle gespeichert werden, finden Sie unter DataProfileFinding.

In Pub/Sub veröffentlichen

Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen basierend auf Profilergebnissen ausführen. Sie können Pub/Sub-Benachrichtigungen verwenden, um einen Workflow zu entwickeln, mit dem sich Ergebnisse mit erheblichem Datenrisiko oder hoher Sensibilität erfassen und beheben lassen.

So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

Aktivieren Sie In Pub/Sub veröffentlichen.

Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das dazu führt, dass Sensitive Data Protection eine Benachrichtigung an Pub/Sub sendet.
Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet Sensitive Data Protection eine Benachrichtigung, wenn sich das Vertraulichkeitsniveau, das Datenrisikoniveau, die erkannten InfoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.
Gehen Sie für jedes ausgewählte Ereignis so vor:
1. Geben Sie den Namen des Themas ein. Der Name muss folgendes Format haben:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Ersetzen Sie Folgendes:
  - PROJECT_ID: die ID des Projekts, das dem Pub/Sub-Thema zugeordnet ist.
  - TOPIC_ID: die ID des Pub/Sub-Themas.
2. Geben Sie an, ob das vollständige Bucket-Profil in die Benachrichtigung aufgenommen werden soll oder nur der vollständige Ressourcennamen des Buckets, der profiliert wurde.
3. Legen Sie die Mindeststufen für Datenrisiko und Vertraulichkeit fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.
4. Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiko und Sensibilität erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl die Bedingungen für das Datenrisiko als auch die für die Sensibilität erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.

Hinweis : Ihr Dienst-Agent muss Veröffentlichungszugriff für das Pub/Sub-Thema haben. Ein Beispiel für eine Rolle mit Veröffentlichungszugriff ist die Rolle „Pub/Sub Publisher“ (roles/pubsub.publisher). Wenn Sie noch keinen Dienst-Agent haben, können Sie ihn später auf der Seite Scankonfiguration erstellen erstellen. Wenn es Konfigurations- oder Berechtigungsprobleme mit dem Pub/Sub-Thema gibt, versucht Sensitive Data Protection bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.

Dienst-Agent-Container und Abrechnung verwalten

In diesem Abschnitt geben Sie das Projekt an, das als Dienst-Agent-Container verwendet werden soll. Sie können entweder Sensitive Data Protection automatisch ein neues Projekt erstellen lassen oder ein vorhandenes auswählen.

Unabhängig davon, ob Sie einen neu erstellten Dienst-Agent verwenden oder einen vorhandenen wiederverwenden, muss er Lesezugriff auf die zu profilierenden Daten haben.

Projekt automatisch erstellen

Wenn Sie nicht die erforderlichen Berechtigungen zum Erstellen eines Projekts in der Organisation haben, müssen Sie stattdessen ein vorhandenes Projekt auswählen oder die erforderlichen Berechtigungen erhalten. Informationen zu den erforderlichen Berechtigungen finden Sie unter Rollen, die für die Arbeit mit Datenprofilen auf Organisations- oder Ordnerebene erforderlich sind.

So erstellen Sie automatisch ein Projekt, das als Dienst-Agent-Container verwendet werden soll:

Prüfen Sie im Feld Dienst-Agent-Container die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf.
Klicken Sie auf Erstellen.
Optional: Aktualisieren Sie den Standardprojektnamen.
Wählen Sie das Konto aus, das für alle kostenpflichtigen Vorgänge in Rechnung gestellt werden soll, die sich auf dieses neue Projekt beziehen, einschließlich Vorgängen, die nicht mit der Ermittlung zusammenhängen.

Hinweis: Wenn Sie bereits ein Discovery-Abo auf Organisationsebene haben, ist dieses Abrechnungskonto trotzdem erforderlich, um das Projekt zu erstellen. Bei allen Discovery-Vorgängen erfolgt die Abrechnung jedoch über das Projekt, das mit Ihrem Abo verknüpft ist.
Klicken Sie auf Erstellen.

Sensitive Data Protection erstellt das neue Projekt. Der Dienst-Agent in diesem Projekt wird zur Authentifizierung beim Dienst zum Schutz sensibler Daten und bei anderen APIs verwendet.

Vorhandenes Projekt auswählen

Wenn Sie ein vorhandenes Projekt als Dienst-Agent-Container auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.

Speicherort für die Konfiguration festlegen

Klicken Sie auf die Liste Ressourcenstandort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.

Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Die Daten werden in derselben Region gescannt, in der sie gespeichert sind. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Konfiguration überprüfen und erstellen

Wenn Sie nicht möchten, dass die Profilerstellung automatisch beginnt, nachdem Sie die Scankonfiguration erstellt haben, wählen Sie Scan im pausierten Modus erstellen aus.
Diese Option ist in den folgenden Fällen nützlich:
- Ihr Google Cloud Administrator muss dem Dienst-Agent weiterhin Zugriff auf die Datenprofilerstellung gewähren.
- Sie möchten mehrere Scankonfigurationen erstellen und manche andere überschreiben lassen.
- Sie haben sich dafür entschieden, Datenprofile in BigQuery zu speichern, und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf die BigQuery-Tabelle hat, in der die Datenprofilkopien gespeichert werden.
- Sie haben sich dafür entschieden, Beispielergebnisse für die Erkennung in BigQuery zu speichern, und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf die BigQuery-Tabelle hat, in der die Beispielergebnisse gespeichert werden.
- Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Dienst-Agent Veröffentlichungszugriff gewähren.
Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.
Sensitive Data Protection erstellt die Scankonfiguration und fügt sie der Liste der Scankonfigurationen für die Erkennung hinzu.

Informationen zum Aufrufen oder Verwalten Ihrer Scankonfigurationen finden Sie unter Scankonfigurationen verwalten.

Nächste Schritte

Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, muss jemand mit einer dieser Rollen Ihrem Dienst-Agent Zugriff auf die Datenprofilerstellung gewähren.
Datenprofile verwalten
Erfahren Sie, wie Sie Scankonfigurationen verwalten.
Informationen zum Empfangen und Parsen von Pub/Sub-Nachrichten, die vom Data Profiler veröffentlicht werden
Informationen zur Fehlerbehebung bei Datenprofilen