Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Diese Seite wurde von der Cloud Translation API übersetzt.

Azure Blob Storage-Daten profilieren
Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite wird beschrieben, wie Sie die Suche nach vertraulichen Daten für Azure Blob Storage konfigurieren. Diese Funktion ist nur für Kunden verfügbar, die Security Command Center auf Enterprise-Ebene aktiviert haben.

Mit der Discovery-Funktion für den Schutz sensibler Daten können Sie die Datentypen ermitteln, die Sie in Blob Storage speichern, und die Sensibilitätsstufen Ihrer Daten. Wenn Sie Ihre Blob Storage-Daten profilieren, generieren Sie Datenprofile für Dateispeicher, die Statistiken und Metadaten zu Ihren Blob Storage-Containern enthalten. Ein Datenprofil für ein Dateispeicher enthält für jeden Blob Storage-Container die folgenden Informationen:

Die Dateitypen, die Sie im Container speichern, kategorisiert in Dateicluster
Die Vertraulichkeitsstufe der Daten im Container
Eine Zusammenfassung zu jedem erkannten Dateicluster, einschließlich der Arten von vertraulichen Informationen, die gefunden wurden

Eine vollständige Liste der Statistiken und Metadaten in jedem Datenprofil für Dateispeicher finden Sie unter Datenprofile für Dateispeicher.

Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.

Workflow

Der allgemeine Workflow zum Erstellen von Profilen für Azure Blob Storage-Daten sieht so aus:

Erstellen Sie im Security Command Center einen Connector für Microsoft Azure. Wählen Sie Berechtigungen für die Sensitive Data Protection-Erkennung gewähren aus.
Erstellen Sie eine Inspektionsvorlage in der Region global oder in der Region, in der Sie die Konfigurationsdatei für den explorativen Scan und alle generierten Datenprofile speichern möchten.
Erstellen Sie eine Erkennungs-Scankonfiguration für Azure Blob Storage.

Mit dem Schutz sensibler Daten werden Ihre Daten gemäß dem von Ihnen angegebenen Zeitplan profiliert.

Überlegungen zum Datenstandort

Beachten Sie Folgendes, wenn Sie Daten von anderen Cloud-Anbietern profilieren möchten:

Die Datenprofile werden zusammen mit der Konfiguration des Discovery-Scans gespeichert. Wenn Sie hingegen Google Cloud Daten profilieren, werden die Profile in derselben Region wie die zu profilierenden Daten gespeichert.
Wenn Sie Ihre Inspektionsvorlage in der Region global speichern, wird eine In-Memory-Kopie dieser Vorlage in der Region gelesen, in der Sie die Konfiguration für den Entdeckungsscan speichern.
Ihre Daten werden nicht geändert. Eine In-Memory-Kopie Ihrer Daten wird in der Region gelesen, in der Sie die Konfiguration des explorativen Scans speichern. Sensitive Data Protection bietet jedoch keine Garantie dafür, wo die Daten nach dem Erreichen des öffentlichen Internets weitergeleitet werden. Die Daten werden mit SSL verschlüsselt.

Leere Dateien und Container

Leere Blob Storage-Dateien und ‑Container werden bei der Suche nicht gescannt und bei der Auflistung der erkannten Dateiendungen nicht berücksichtigt. Ein Container, der nur leere Dateien enthält, wird ebenfalls als leer betrachtet.

Hinweise

Erstellen Sie in Security Command Center einen Connector für Microsoft Azure. Weitere Informationen finden Sie in der Security Command Center-Dokumentation unter Verbindung mit Microsoft Azure für die Erfassung von Konfigurations- und Ressourcendaten herstellen.
Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Organisationsebene erforderlich sind.

Auch wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, können Sie eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss eine Person mit einer dieser Rollen Ihrem Dienst-Agent Zugriff auf die Datenprofilerstellung gewähren.
Prüfen Sie, ob Sie eine Inspektionsvorlage in der Region global oder in der Region haben, in der Sie die Konfiguration des Erkennungsscans und alle generierten Datenprofile speichern möchten.

Mit dieser Aufgabe können Sie eine Inspektionsvorlage nur in der Region global automatisch erstellen. Wenn Sie aufgrund von organisatorischen Richtlinien keine Inspektionsvorlage in der Region global erstellen können, müssen Sie vor dem Ausführen dieser Aufgabe eine Inspektionsvorlage in der Region erstellen, in der Sie die Konfiguration des Erkennungsscans speichern möchten.
Wenn Sie Pub/Sub-Benachrichtigungen an ein Thema senden möchten, wenn bestimmte Ereignisse auftreten, z. B. wenn der Schutz sensibler Daten ein neues Containerprofil erstellt, erstellen Sie ein Pub/Sub-Thema, bevor Sie diese Aufgabe ausführen.

Zum Generieren von Datenprofilen benötigen Sie einen Dienst-Agent-Container und einen Dienst-Agent. Mit dieser Aufgabe können Sie sie automatisch erstellen.

Scankonfiguration erstellen

Rufen Sie die Seite Scankonfiguration erstellen auf.

Zur Seite „Scankonfiguration erstellen”
Rufen Sie Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihre Organisation aus.

In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scankonfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.

Erkennungstyp auswählen

Wählen Sie Azure Blob Storage aus.

Bereich auswählen

Führen Sie einen der folgenden Schritte aus:

Wenn Sie alle Blob Storage-Assets scannen möchten, auf die Ihr Azure-Connector Zugriff hat, wählen Sie Alle über Ihren Connector verfügbaren Azure-Assets scannen aus.
Wenn Sie die Blob Storage-Daten in einem einzelnen Azure-Abo scannen möchten, wählen Sie Ein Azure-Abo scannen aus. Geben Sie die Abo-ID ein.
Wenn Sie einen einzelnen Blob Storage-Container scannen möchten, wählen Sie Einen Azure Blob Storage-Container scannen aus. Geben Sie die Details des Containers ein, den Sie scannen möchten.

Pläne verwalten

Wenn die Standardprofilierungshäufigkeit Ihren Anforderungen entspricht, können Sie diesen Abschnitt der Seite Scankonfiguration erstellen überspringen.

Konfigurieren Sie diesen Abschnitt aus folgenden Gründen:

Sie können die Häufigkeit der Profilerstellung für alle Ihre Daten oder bestimmte Teilmengen Ihrer Daten feinanpassen.
Hier können Sie die Container angeben, die nicht profiliert werden sollen.
Hier können Sie die Container angeben, die nicht mehrmals profiliert werden sollen.

So nehmen Sie detaillierte Anpassungen an der Profilierungshäufigkeit vor:

Klicken Sie auf Zeitplan hinzufügen.

Hinweis :Wenn Sie einen einzelnen Container als Umfang dieser Konfiguration ausgewählt haben, können Sie keinen Zeitplan hinzufügen. Sie können nur den Standardzeitplan bearbeiten. Außerdem können Sie keine Filter angeben. Sie können nur die Häufigkeit und die Bedingungen für die Profilerstellung bearbeiten.
Definieren Sie im Abschnitt Filter einen oder mehrere Filter, mit denen Sie angeben, welche Container in den Geltungsbereich des Zeitplans fallen.

Geben Sie mindestens eine der folgenden Angaben an:
- Eine Abo-ID oder ein regulärer Ausdruck, der eine oder mehrere Abo-IDs angibt
- Containername oder regulärer Ausdruck, der einen oder mehrere Container angibt
Reguläre Ausdrücke müssen der RE2-Syntax folgen.

Wenn Sie beispielsweise alle Container in einem Konto in den Filter aufnehmen möchten, geben Sie die Abo-ID in das Feld Abo-ID ein.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.
Klicken Sie auf Häufigkeit.
Legen Sie im Bereich Häufigkeit fest, ob die ausgewählten Container profiliert werden sollen und, falls ja, wie oft:
- Wenn die Container nie profiliert werden sollen, deaktivieren Sie Diese Daten profilieren.
- Wenn die Container mindestens einmal profiliert werden sollen, lassen Sie Diese Daten profilieren aktiviert.
  
  Legen Sie fest, ob Ihre Daten neu profiliert werden sollen und welche Ereignisse einen Neuprofilierungsvorgang auslösen sollen. Weitere Informationen finden Sie unter Häufigkeit der Generierung von Datenprofilen.
  1. Geben Sie unter Nach Zeitplan an, wie oft die Container neu profiliert werden sollen. Die Container werden unabhängig davon neu profiliert, ob sie Änderungen erfahren haben.
  2. Geben Sie unter Wenn sich die Prüfungsvorlage ändert an, ob ein neues Profil für Ihre Daten erstellt werden soll, wenn die zugehörige Prüfungsvorlage aktualisiert wird, und falls ja, wie oft.
    Hinweis:Sie geben die zu verwendenden Inspektionsvorlagen auf dieser Seite im Schritt Inspektionsvorlage auswählen an.
    
    Eine Änderung an der Inspektionsvorlage wird erkannt, wenn eines der folgenden Ereignisse eintritt:
    - Der Name einer Inspektionsvorlage wird in Ihrer Scankonfiguration geändert.
    - Die updateTime einer Inspektionsvorlage ändert sich.
Optional: Klicken Sie auf Bedingungen.

Im Abschnitt Bedingungen geben Sie alle Bedingungen an, die die in Ihren Filtern definierten Container erfüllen müssen, bevor sie vom Schutz sensibler Daten profiliert werden.

Standardmäßig werden beim Schutz sensibler Daten alle Objekte in einem Container gescannt. Wenn Sie nur die Objekte in einer bestimmten Blob-Zugriffsebene scannen möchten, wählen Sie diese Ebenen aus. Wenn Sie Blobs einbeziehen möchten, für die keine Zugriffsebene festgelegt ist, wählen Sie Nicht zutreffend aus.
Klicken Sie auf Fertig.
Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.
Wenn Sie die Priorität zwischen den Zeitplänen festlegen möchten, ordnen Sie sie mit den Pfeilen nach oben und nach unten neu an.

Die Reihenfolge der Zeitpläne gibt an, wie Konflikte zwischen Zeitplänen gelöst werden. Wenn ein Container mit den Filtern zweier verschiedener Zeitpläne übereinstimmt, wird die Profiling-Häufigkeit für diesen Container durch den Zeitplan bestimmt, der in der Liste der Zeitpläne weiter oben steht.

Hinweis :Wenn Sie den Abomodus für die Preisermittlung für die Datenerhebung verwenden, hängt die Häufigkeit, mit der Sensitive Data Protection Ihre Daten profiliert, von der erworbenen Kapazität ab. Informationen zur täglichen Kapazität für das Profiling finden Sie unter Nutzung überwachen. Wenn Sie zu wenig Kapazität bereitgestellt haben, werden die in Ihren Zeitplänen festgelegten Profilerstellungshäufigkeiten möglicherweise nicht eingehalten. Wenn es einen Rückstau von Daten gibt, die profiliert werden müssen, bestimmt die geplante Reihenfolge nicht, in welcher Reihenfolge Sensitive Data Protection die Daten im Rückstau profiliert. Stattdessen erhalten alle relevanten Datenressourcen einen zufällig zugewiesenen Slot in der Warteschlange.

Der letzte Zeitplan in der Liste ist immer der mit der Bezeichnung Standardzeitplan. Dieser Standardzeitplan deckt die Container im ausgewählten Umfang ab, die keinem Ihrer Zeitpläne entsprechen. Dieser Standardzeitplan folgt der Standardhäufigkeit der Profilerstellung.
Wenn Sie den Standardzeitplan anpassen möchten, klicken Sie auf Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.

Inspektionsvorlage auswählen

Wählen Sie je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten, eine der folgenden Optionen aus. Unabhängig von der ausgewählten Option werden Ihre Daten beim Schutz sensibler Daten in der Region gescannt, in der sie gespeichert sind. Das heißt, Ihre Daten verlassen nicht ihre Herkunftsregion.

Option 1: Inspektionsvorlage erstellen

Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

Klicken Sie auf Neue Inspektionsvorlage erstellen.
Optional: Klicken Sie auf InfoTypes verwalten, um die Standardauswahl der InfoTypes zu ändern.

Weitere Informationen zum Verwalten integrierter und benutzerdefinierter infoTypes finden Sie unter infoTypes über dieGoogle Cloud Console verwalten.

Sie müssen mindestens einen „infoType“ ausgewählt haben, um fortzufahren.
Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global gespeichert.

Option 2: Vorhandene Inspektionsvorlage verwenden

Wählen Sie diese Option aus, wenn Sie vorhandene Inspektionsvorlagen verwenden möchten.

Klicken Sie auf Vorhandene Inspektionsvorlage wählen.
Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der sich Ihre Inspektionsvorlage befindet.
Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region befinden, in der Sie diese Konfiguration für den Erkennungsscan und alle generierten Datenprofile speichern möchten.

Gemäß dem Grundsatz des Datenstandorts wird in Sensitive Data Protection keine Inspektionsvorlage außerhalb der Region verwendet, in der sie gespeichert ist.

So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:
1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.
  
  Inspektionsvorlagen aufrufen
2. Wechseln Sie zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.
3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.
4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat folgendes Format:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. Fügen Sie auf der Seite Scankonfiguration erstellen im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.

Aktionen hinzufügen

In den folgenden Abschnitten legen Sie fest, welche Aktionen der Schutz sensibler Daten nach der Generierung der Datenprofile ausführen soll.

Informationen dazu, wie andere Google Cloud Dienste die Konfiguration von Aktionen in Rechnung stellen, finden Sie unter Preise für den Export von Datenprofilen.

In Google Security Operations veröffentlichen

Messwerte, die aus Datenprofilen erfasst werden, können Ihren Sicherheitsmaßnahmen Kontext verleihen. Anhand des zusätzlichen Kontexts können Sie die wichtigsten Sicherheitsprobleme ermitteln, die behoben werden müssen.

Wenn Sie beispielsweise einen bestimmten Kundenservicemitarbeiter untersuchen, können Sie ermitteln, auf welche Ressourcen er zugegriffen hat und ob eine dieser Ressourcen Daten mit hoher Vertraulichkeit enthält.

Wenn Sie Ihre Datenprofile an die Google Security Operations-Komponente von Security Command Center Enterprise senden möchten, aktivieren Sie In Chronicle veröffentlichen.

In Security Command Center veröffentlichen

Die Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Sicherheitslücken und Bedrohungen im Security Command Center priorisieren und Reaktionspläne entwickeln.

Damit die Ergebnisse Ihrer Datenprofile an Security Command Center gesendet werden, muss die Option In Security Command Center veröffentlichen aktiviert sein.

Weitere Informationen finden Sie unter Datenprofile im Security Command Center veröffentlichen.

Datenprofilkopien in BigQuery speichern

Der Schutz sensibler Daten speichert eine Kopie jedes generierten Datenprofils in einer BigQuery-Tabelle. Wenn Sie die Details der gewünschten Tabelle nicht angeben, erstellt der Schutz sensibler Daten ein Dataset und eine Tabelle im Service-Agent-Container. Standardmäßig heißt das Dataset sensitive_data_protection_discovery und die Tabelle discovery_profiles.

Mit dieser Aktion können Sie einen Verlauf aller generierten Profile speichern. Dieser Verlauf kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht ansehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Sie können sich die Datenprofile auch über dieGoogle Cloud Console ansehen. In der Console werden die Profile jedoch jeweils nur für eine Region angezeigt.

Wenn der Schutz sensibler Daten kein Profil für einen Container erstellen kann, wird der Vorgang regelmäßig wiederholt. Um das Rauschen in den exportierten Daten zu minimieren, exportiert der Schutz sensibler Daten nur erfolgreich generierte Profile nach BigQuery.

Sobald Sie diese Option aktivieren, beginnt Sensitive Data Protection mit dem Exportieren von Profilen. Profile, die generiert wurden, bevor Sie den Export aktiviert haben, werden nicht in BigQuery gespeichert.

Beispielabfragen für die Analyse von Datenprofilen finden Sie unter Datenprofile analysieren.

Beispielergebnisse für die Erkennung in BigQuery speichern

Mit dem Schutz sensibler Daten können Sie einer BigQuery-Tabelle Ihrer Wahl Beispielergebnisse hinzufügen. Die Beispielergebnisse stellen einen Teil aller Ergebnisse dar und repräsentieren möglicherweise nicht alle gefundenen Infotypen. Normalerweise generiert das System etwa 10 Beispielergebnisse pro Container. Diese Anzahl kann jedoch bei jeder Ausführung der Suche variieren.

Jedes Ergebnis enthält den tatsächlichen String (auch Zitat genannt), der erkannt wurde, und seinen genauen Speicherort.

Diese Aktion ist nützlich, wenn Sie prüfen möchten, ob Ihre Inspektionskonfiguration der Art der Informationen entspricht, die Sie als sensibel kennzeichnen möchten. Anhand der exportierten Datenprofile und der exportierten Beispielergebnisse können Sie Abfragen ausführen, um weitere Informationen zu den einzelnen gemeldeten Elementen, den InfoTypes, mit denen sie übereinstimmen, ihren genauen Speicherorten, ihren berechneten Sensibilitätsgraden und anderen Details zu erhalten.

Für dieses Beispiel müssen sowohl Datenprofilkopien in BigQuery speichern als auch Beispielergebnisse für die Erkennung in BigQuery speichern aktiviert sein.

In der folgenden Abfrage wird sowohl für die Tabelle der exportierten Datenprofile als auch für die Tabelle der exportierten Stichprobenerkenntnisse ein INNER JOIN-Vorgang verwendet. In der sich öffnenden Tabelle sehen Sie in jedem Datensatz das Zitat des Ergebnisses, den übereinstimmenden infoType, die Ressource, die das Ergebnis enthält, und das berechnete Empfindlichkeitsniveau der Ressource.

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

So speichern Sie Beispielergebnisse in einer BigQuery-Tabelle:

Aktivieren Sie Beispielergebnisse für die Erkennung in BigQuery speichern.
Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Beispielergebnisse speichern möchten.

Die für diese Aktion angegebene Tabelle muss sich von der Tabelle unterscheiden, die für die Aktion Datenprofilkopien in BigQuery speichern verwendet wird.
- Geben Sie unter Projekt-ID die ID eines vorhandenen Projekts ein, in das Sie die Ergebnisse exportieren möchten.
- Geben Sie unter Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein.
- Geben Sie unter Tabellen-ID den Namen der BigQuery-Tabelle ein, in der Sie die Ergebnisse speichern möchten. Wenn diese Tabelle nicht vorhanden ist, wird sie von Sensitive Data Protection automatisch mit dem von Ihnen angegebenen Namen für Sie erstellt.

Informationen zum Inhalt der einzelnen Ergebnisse, die in der BigQuery-Tabelle gespeichert werden, finden Sie unter DataProfileFinding.

In Pub/Sub veröffentlichen

Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen basierend auf den Ergebnissen der Profilierung ausführen. Mit Pub/Sub-Benachrichtigungen können Sie einen Workflow entwickeln, um Ergebnisse mit erheblichen Datenrisiken oder sensiblen Daten zu erkennen und zu beheben.

So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

Aktivieren Sie In Pub/Sub veröffentlichen.

Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, bei dem der Schutz sensibler Daten eine Benachrichtigung an Pub/Sub sendet.
Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet der Dienst „Sensible Daten schützen“ eine Benachrichtigung, wenn sich die Empfindlichkeitsstufe, die Datenrisikostufe, die erkannten infoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.
Gehen Sie für jedes ausgewählte Ereignis so vor:
1. Geben Sie den Namen des Themas ein. Der Name muss folgendes Format haben:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Ersetzen Sie Folgendes:
  - PROJECT_ID: die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
  - TOPIC_ID: die ID des Pub/Sub-Themas.
2. Geben Sie an, ob das vollständige Containerprofil oder nur der vollständige Ressourcenname des profilierten Containers in der Benachrichtigung enthalten sein soll.
3. Legen Sie die Mindestwerte für Datenrisiko und Vertraulichkeit fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.
4. Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiken und Datensensibilität erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl die Bedingungen für das Datenrisiko als auch die Bedingungen für die Datensensibilität erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.

Hinweis : Ihr Kundenservicemitarbeiter muss Veröffentlichungszugriff auf das Pub/Sub-Thema haben. Ein Beispiel für eine Rolle mit Veröffentlichungszugriff ist die Rolle „Pub/Sub-Publisher“ (roles/pubsub.publisher). Wenn Sie noch keinen Dienst-Agenten haben, können Sie mit dem Schutz sensibler Daten später auf der Seite Konfiguration der Suche erstellen einen erstellen. Bei Konfigurations- oder Berechtigungsproblemen mit dem Pub/Sub-Thema versucht der Dienst zum Schutz sensibler Daten bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung noch einmal zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.

Dienst-Agent-Container und Abrechnung verwalten

In diesem Abschnitt geben Sie das Projekt an, das als Dienst-Agent-Container verwendet werden soll. Sie können entweder den Schutz sensibler Daten automatisch ein neues Projekt erstellen lassen oder ein vorhandenes auswählen.

Unabhängig davon, ob Sie einen neu erstellten Dienst-Agenten verwenden oder einen vorhandenen wiederverwenden, muss er Lesezugriff auf die zu profilierenden Daten haben.

Projekt automatisch erstellen

Wenn Sie nicht die erforderlichen Berechtigungen zum Erstellen eines Projekts in der Organisation haben, müssen Sie stattdessen ein vorhandenes Projekt auswählen oder die erforderlichen Berechtigungen erhalten. Informationen zu den erforderlichen Berechtigungen finden Sie unter Rollen, die für die Arbeit mit Datenprofilen auf Organisations- oder Ordnerebene erforderlich sind.

So erstellen Sie automatisch ein Projekt, das als Dienst-Agent-Container verwendet werden soll:

Prüfen Sie im Feld Service-Agent-Container die vorgeschlagene Projekt-ID und bearbeiten Sie sie bei Bedarf.
Klicken Sie auf Erstellen.
Optional: Aktualisieren Sie den Standardprojektnamen.
Wählen Sie das Konto aus, das für alle abrechenbaren Vorgänge in Rechnung gestellt werden soll, die sich auf dieses neue Projekt beziehen, einschließlich Vorgängen, die nicht mit der Datenerhebung zusammenhängen.

Hinweis: Auch wenn Sie bereits ein Discovery-Abo auf Organisationsebene haben, ist dieses Abrechnungskonto zum Erstellen des Projekts erforderlich. Alle Discovery-Vorgänge werden Ihnen jedoch über das Projekt in Rechnung gestellt, das mit Ihrem Abo verknüpft ist.
Klicken Sie auf Erstellen.

Sensitive Data Protection erstellt das neue Projekt. Der Dienst-Agent in diesem Projekt wird verwendet, um sich beim Sensitive Data Protection-Dienst und bei anderen APIs zu authentifizieren.

Vorhandenes Projekt auswählen

Wenn Sie ein vorhandenes Projekt als Dienst-Agent-Container auswählen möchten, klicken Sie auf das Feld Dienst-Agent-Container und wählen Sie das Projekt aus.

Speicherort für die Konfiguration festlegen

Klicken Sie auf die Liste Ressourcenspeicherort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.

Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Ihre Daten werden in derselben Region gescannt, in der sie gespeichert sind. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Konfiguration prüfen und erstellen

Wenn Sie verhindern möchten, dass das Profiling automatisch nach dem Erstellen der Scankonfiguration gestartet wird, wählen Sie Scan im pausierten Modus erstellen aus.
Diese Option ist in den folgenden Fällen nützlich:
- Ihr Google Cloud Administrator muss dem Dienst-Agent noch Zugriff auf die Datenprofilerstellung gewähren.
- Sie möchten mehrere Scankonfigurationen erstellen und manche andere überschreiben lassen.
- Sie haben sich dafür entschieden, Datenprofile in BigQuery zu speichern, und möchten dafür sorgen, dass der Kundenservicemitarbeiter Schreibzugriff auf die BigQuery-Tabelle hat, in der die Datenprofilkopien gespeichert werden.
- Sie haben sich entschieden, die Ergebnisse der Beispielerkennung in BigQuery zu speichern, und möchten dafür sorgen, dass der Kundenservicemitarbeiter Schreibzugriff auf die BigQuery-Tabelle hat, in der die Beispielergebnisse gespeichert werden.
- Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Kundenservicemitarbeiter Veröffentlichungszugriff gewähren.
Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.
Sensitive Data Protection erstellt die Scankonfiguration und fügt sie der Liste der Konfigurationen für die Erkennung hinzu.

Informationen zum Aufrufen oder Verwalten Ihrer Scankonfigurationen finden Sie unter Scankonfigurationen verwalten.

Nächste Schritte

Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, muss eine Person mit einer dieser Rollen Ihrem Kundenservicemitarbeiter Zugriff zum Erstellen von Datenprofilen gewähren.
Weitere Informationen zum Verwalten von Datenprofilen
Erfahren Sie, wie Sie Scankonfigurationen verwalten.
Weitere Informationen zum Empfangen und Parsen von Pub/Sub-Nachrichten, die vom Data Profiler veröffentlicht werden
Informationen zur Fehlerbehebung bei Datenprofilen