Cloud Storage-Daten in einem einzelnen Projekt profilieren

Auf dieser Seite wird beschrieben, wie Sie die Cloud Storage-Datenerkennung auf Projektebene konfigurieren. Wenn Sie ein Profil für eine Organisation oder einen Ordner erstellen möchten, lesen Sie den Abschnitt Cloud Storage-Daten in einer Organisation oder einem Ordner analysieren.

Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.

Hinweise

  1. Prüfen Sie, ob die Cloud Data Loss Prevention API für Ihr Projekt aktiviert ist:

    1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    3. Make sure that billing is enabled for your Google Cloud project.

    4. Enable the required API.

      Enable the API

    5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    6. Make sure that billing is enabled for your Google Cloud project.

    7. Enable the required API.

      Enable the API

      8.

    8. Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Projektebene erforderlich sind.

    9. Sie benötigen eine Inspektionsvorlage in jeder Region, in der Sie Daten haben, für die ein Profil erstellt werden soll. Wenn Sie eine einzelne Vorlage für mehrere Regionen verwenden möchten, können Sie eine Vorlage verwenden, die in der Region global gespeichert ist. Wenn Sie aufgrund von Organisationsrichtlinien keine Inspektionsvorlage in der Region global erstellen können, müssen Sie für jede Region eine eigene Inspektionsvorlage festlegen. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

      Mit dieser Aufgabe können Sie nur eine Inspektionsvorlage in der Region global erstellen. Wenn Sie spezielle Inspektionsvorlagen für eine oder mehrere Regionen benötigen, müssen Sie diese Vorlagen erstellen, bevor Sie diese Aufgabe ausführen.

    10. Sie können Sensitive Data Protection so konfigurieren, dass Benachrichtigungen an Pub/Sub gesendet werden, wenn bestimmte Ereignisse eintreten, z. B. wenn Sensitive Data Protection ein Profil für einen neuen Bucket erstellt. Wenn Sie diese Funktion verwenden möchten, müssen Sie zuerst ein Pub/Sub-Thema erstellen.

    11. Sie können Sensitive Data Protection so konfigurieren, dass Tags automatisch an Ihre Ressourcen angehängt werden. Mit dieser Funktion können Sie den Zugriff auf diese Ressourcen basierend auf den berechneten Vertraulichkeitsstufen bedingt gewähren. Wenn Sie diese Funktion verwenden möchten, müssen Sie zuerst die Aufgaben unter IAM-Zugriff auf Ressourcen basierend auf der Datenvertraulichkeit steuern ausführen.

      12. Scankonfiguration erstellen

      1. Rufen Sie die Seite Scankonfiguration erstellen auf.

        Zur Seite „Scankonfiguration erstellen”

      2. Rufen Sie Ihr Projekt auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihr Projekt aus.

      In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scan-Konfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.

      Erkennungstyp auswählen

      Wählen Sie Cloud Storage aus.

      Bereich auswählen

      Führen Sie einen der folgenden Schritte aus:

      • Wenn Sie einen einzelnen Bucket scannen möchten, wählen Sie Einen Bucket scannen aus.

        Für jeden Bucket kann nur eine Scankonfiguration für einzelne Ressourcen vorhanden sein. Weitere Informationen finden Sie unter Einzelne Datenressource profilieren.

        Geben Sie die Details des Buckets ein, den Sie analysieren möchten.

      • Wenn Sie ein Standardprofiling auf Projektebene durchführen möchten, wählen Sie Ausgewähltes Projekt scannen aus.

      Pläne verwalten

      Wenn die Standardhäufigkeit für das Profiling Ihren Anforderungen entspricht, können Sie diesen Abschnitt der Seite Scankonfiguration erstellen überspringen.

      Konfigurieren Sie diesen Abschnitt aus folgenden Gründen:

      • Sie können die Häufigkeit der Profilerstellung für alle Ihre Daten oder bestimmte Teilmengen Ihrer Daten genau anpassen.
      • So geben Sie die Buckets an, die nicht profiliert werden sollen:
      • So geben Sie die Buckets an, die nicht mehr als einmal profiliert werden sollen.

      So nehmen Sie detaillierte Anpassungen an der Profilerstellungshäufigkeit vor:

      1. Klicken Sie auf Zeitplan hinzufügen.

      2. Im Abschnitt Filter definieren Sie einen oder mehrere Filter, die angeben, welche Buckets im Umfang des Zeitplans enthalten sind. Ein Bucket gilt als im Bereich des Zeitplans, wenn er mit mindestens einem der definierten Filter übereinstimmt.

        Geben Sie mindestens eine der folgenden Optionen an, um einen Filter zu konfigurieren:

        • Eine Projekt-ID oder ein regulärer Ausdruck, der ein oder mehrere Projekte angibt
        • Ein Bucket-Name oder ein regulärer Ausdruck, der einen oder mehrere Buckets angibt

        Reguläre Ausdrücke müssen der RE2-Syntax entsprechen.

        Wenn Sie beispielsweise alle Buckets in einem Projekt in den Filter aufnehmen möchten, geben Sie die Projekt-ID in das Feld Projekt-ID ein.

        Damit ein Bucket einem Filter entspricht, muss er allen regulären Ausdrücken entsprechen, die in diesem Filter angegeben sind.

        Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.

      3. Klicken Sie auf Häufigkeit.

      4. Geben Sie im Bereich Häufigkeit an, ob der Discovery-Dienst die ausgewählten Buckets profilieren soll und, falls ja, wie oft:

        • Wenn Sie nicht möchten, dass die Buckets jemals profiliert werden, deaktivieren Sie Do profile this data (Diese Daten profilieren).

        • Wenn die Buckets mindestens einmal profiliert werden sollen, lassen Sie Do profile this data aktiviert.

          In den nachfolgenden Feldern in diesem Abschnitt geben Sie an, ob das System Ihre Daten neu profilieren soll und welche Ereignisse einen solchen Vorgang auslösen sollen. Weitere Informationen finden Sie unter Häufigkeit der Generierung von Datenprofilen.

          1. Geben Sie für Nach Zeitplan an, wie oft die Profile der Buckets aktualisiert werden sollen. Die Gruppen werden neu profiliert, unabhängig davon, ob sich etwas geändert hat.
          2. Geben Sie für Wenn sich die Prüfungsvorlage ändert an, ob und wie oft ein neues Profil für Ihre Daten erstellt werden soll, wenn die zugehörige Prüfungsvorlage aktualisiert wird.

            Eine Änderung an der Inspektionsvorlage wird erkannt, wenn einer der folgenden Fälle eintritt:

            • Der Name einer Inspektionsvorlage in Ihrer Scankonfiguration ändert sich.
            • Die updateTime einer Inspektionsvorlage ändert sich.

            3. Wenn Sie beispielsweise eine Prüfungsvorlage für die Region us-west1 festlegen und diese Vorlage aktualisieren, wird nur für Daten in der Region us-west1 ein neues Profil erstellt.

      5. Optional: Klicken Sie auf Bedingungen.

        Im Abschnitt Bedingungen geben Sie alle Bedingungen an, die die in Ihren Filtern definierten Buckets erfüllen müssen, bevor Sensitive Data Protection ein Profil für sie erstellt.

        Legen Sie bei Bedarf Folgendes fest:

        • Mindestbedingungen: Wenn die Profilerstellung für einen Bucket erst erfolgen soll, wenn er ein bestimmtes Alter erreicht hat, aktivieren Sie diese Option. Geben Sie dann die Mindestdauer ein.

        • Bedingungen für Bucket-Attribute: Standardmäßig werden Buckets, für die Autoclass aktiviert ist, nicht von Sensitive Data Protection gescannt. Wenn Sie diese Buckets scannen möchten, klicken Sie auf Buckets mit aktiviertem Autoclass scannen.

        • Bedingungen für Objektattribute: Standardmäßig werden mit Sensitive Data Protection nur Objekte der Speicherklasse „Standard“ gescannt. Wenn Sie Objekte in anderen Speicherklassen scannen möchten, wählen Sie diese Speicherklassen einzeln aus oder klicken Sie auf Alle Objekte unabhängig vom Attribut scannen.

        • Zeitbedingung: Wenn Sie nicht möchten, dass alte Buckets jemals profiliert werden, aktivieren Sie diese Option. Wählen Sie dann mit der Datumsauswahl ein Datum und eine Uhrzeit aus. Alle Buckets, die vor oder am ausgewählten Zeitstempel erstellt wurden, werden nicht in die Profilerstellung einbezogen.

        Beispielbedingungen

        Angenommen, Sie haben die folgende Konfiguration:

        • Mindestbedingungen

          • Mindestdauer: 24 Stunden

        • Bedingungen für Bucket-Attribute

          • Nichts ausgewählt

        • Bedingungen für Objektattribute

          • Objekte mit der Speicherklasse „Standard Storage“ scannen
          • Objekte mit der Speicherklasse „Nearline Storage“ scannen

        • Zeitbedingung

          • Zeitstempel: 04.05.22, 23:59 Uhr

        In diesem Fall schließt Sensitive Data Protection alle Buckets aus, die am oder vor dem 4. Mai 2022 um 23:59 Uhr erstellt wurden. Von den Buckets, die nach diesem Datum und dieser Uhrzeit erstellt wurden, erstellt Sensitive Data Protection nur Profile für Buckets, die mindestens 24 Stunden alt sind und für die die automatische Klassifizierung deaktiviert ist. Innerhalb dieser Buckets werden mit dem Schutz sensibler Daten nur die Objekte in den Speicherklassen „Standard“ und „Nearline“ profiliert.

      6. Klicken Sie auf Fertig.

      7. Optional: Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.

      8. Wenn Sie die Priorität zwischen Zeitplänen festlegen möchten, ordnen Sie sie mit den Aufwärts- und Abwärtspfeilen  und neu an.

        Die Reihenfolge der Zeitpläne gibt an, wie Konflikte zwischen Zeitplänen behoben werden. Wenn ein Bucket mit den Filtern von zwei verschiedenen Zeitplänen übereinstimmt, wird die Profiling-Häufigkeit für diesen Bucket durch den Zeitplan bestimmt, der in der Liste der Zeitpläne weiter oben steht.

      9. Optional: Bearbeiten oder deaktivieren Sie den Catch-all-Zeitplan.

        Der letzte Zeitplan in der Liste ist der Auffangzeitplan. Dieser Zeitplan umfasst die Buckets in Ihrem ausgewählten Bereich, die keinem der von Ihnen erstellten Zeitpläne entsprechen. Für den Auffangzeitplan gilt die Standardhäufigkeit für die Profilerstellung.

        • Wenn Sie den Auffangzeitplan anpassen möchten, klicken Sie auf  Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.
        • Wenn Sie verhindern möchten, dass Sensitive Data Protection ein Profil für Ressourcen erstellt, die vom Sammelzeitplan abgedeckt werden, deaktivieren Sie Profil der Ressourcen erstellen, die keinem benutzerdefinierten Zeitplan entsprechen.

      Inspektionsvorlage auswählen

      Wählen Sie eine der folgenden Optionen aus, je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten. Unabhängig davon, welche Option Sie auswählen, scannt Sensitive Data Protection Ihre Daten in der Region, in der sie gespeichert sind. Das heißt, Ihre Daten verlassen nicht ihre Ursprungsregion.

      Option 1: Inspektionsvorlage erstellen

      Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

      1. Klicken Sie auf Neue Inspektionsvorlage erstellen.

      2. Optional: Wenn Sie die Standardauswahl von infoTypes ändern möchten, klicken Sie auf infoTypes verwalten.

        Weitere Informationen zum Verwalten von integrierten und benutzerdefinierten infoTypes finden Sie unter infoTypes über dieGoogle Cloud Console verwalten.

        Sie müssen mindestens einen infoType auswählen, um fortzufahren.

      3. Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

      Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global gespeichert.

      Option 2: Vorhandene Inspektionsvorlage verwenden

      Wählen Sie diese Option aus, wenn Sie vorhandene Inspektionsvorlagen verwenden möchten.

      1. Klicken Sie auf Vorhandene Inspektionsvorlage wählen.
      2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der Ihre Inspektionsvorlage gespeichert ist.

        Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region wie die Daten befinden, für die ein Profil erstellt werden soll.

        Um den Datenstandort zu berücksichtigen, verwendet Sensitive Data Protection keine Inspektionsvorlage außerhalb der Region, in der sie gespeichert ist.

        So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:

        1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.

          Inspektionsvorlagen aufrufen

        2. Wechseln Sie zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.
        3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.
        4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat dieses Format: 
          projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
        5. Fügen Sie auf der Seite Scankonfiguration erstellen im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.
      3. Wenn Sie eine Inspektionsvorlage für eine andere Region hinzufügen möchten, klicken Sie auf Inspektionsvorlage hinzufügen und geben Sie den vollständigen Ressourcennamen der Vorlage ein. Wiederholen Sie diesen Schritt für jede Region, für die Sie eine eigene Inspektionsvorlage haben.
      4. Optional: Fügen Sie eine Inspektionsvorlage hinzu, die in der Region global gespeichert ist. Sensitive Data Protection verwendet diese Vorlage automatisch für Daten in Regionen, für die Sie keine dedizierte Inspektionsvorlage haben.

      Aktionen hinzufügen

      In diesem Abschnitt wird beschrieben, wie Sie Aktionen angeben, die von Sensitive Data Protection nach dem Erstellen eines Profils für einen Bucket ausgeführt werden sollen. Diese Aktionen sind nützlich, wenn Sie aus Datenprofilen gewonnene Statistiken an andereGoogle Cloud -Dienste senden möchten.

      In Security Command Center veröffentlichen

      Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Ihre Ergebnisse zu Sicherheitslücken und Bedrohungen in Security Command Center priorisieren und Reaktionspläne entwickeln.

      Bevor Sie diese Aktion verwenden können, muss Security Command Center auf Organisationsebene aktiviert sein. Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Ergebnisse von integrierten Diensten wie dem Schutz sensibler Daten übertragen werden. Sensitive Data Protection funktioniert mit allen Dienststufen von Security Command Center.

      Wenn Security Command Center nicht auf Organisationsebene aktiviert ist, werden Ergebnisse zum Schutz sensibler Daten nicht im Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.

      Wenn Sie die Ergebnisse Ihrer Datenprofile an Security Command Center senden möchten, muss die Option In Security Command Center veröffentlichen aktiviert sein.

      Weitere Informationen finden Sie unter Datenprofile in Security Command Center veröffentlichen.

      Datenprofilkopien in BigQuery speichern

      Sensitive Data Protection speichert eine Kopie jedes generierten Datenprofils in einer BigQuery-Tabelle. Wenn Sie keine Details zur bevorzugten Tabelle angeben, erstellt Sensitive Data Protection ein Dataset und eine Tabelle im Projekt. Standardmäßig heißt das Dataset sensitive_data_protection_discovery und die Tabelle discovery_profiles.

      Mit dieser Option können Sie einen Verlauf aller generierten Profile speichern. Dieser Verlauf kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

      Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht ansehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Sie können sich die Datenprofile zwar auch über dieGoogle Cloud Console ansehen, dort werden die Profile jedoch jeweils nur in einer Region angezeigt.

      Wenn Sensitive Data Protection die Erstellung eines Profils für einen Bucket misslingt, wird der Versuch regelmäßig wiederholt. Um das Rauschen in den exportierten Daten zu minimieren, exportiert Sensitive Data Protection nur erfolgreich generierte Profile nach BigQuery.

      Sensitive Data Protection beginnt mit dem Exportieren von Profilen, sobald Sie diese Option aktivieren. Profile, die vor dem Aktivieren des Exports generiert wurden, werden nicht in BigQuery gespeichert.

      Beispielabfragen, die Sie bei der Analyse von Datenprofilen verwenden können, finden Sie unter Datenprofile analysieren.

      Beispielergebnisse für die Erkennung in BigQuery speichern

      Der Schutz sensibler Daten kann Beispielergebnisse in eine BigQuery-Tabelle Ihrer Wahl einfügen. Die Beispielfunde stellen eine Teilmenge aller Funde dar und enthalten möglicherweise nicht alle erkannten infoTypes. Normalerweise generiert das System etwa 10 Beispielfunde pro Bucket. Diese Anzahl kann jedoch für jeden Erkennungslauf variieren.

      Jedes Ergebnis enthält den erkannten String (auch Zitat genannt) und seinen genauen Speicherort.

      Diese Aktion ist nützlich, wenn Sie prüfen möchten, ob Ihre Prüfungskonfiguration dem Typ von Informationen entspricht, die Sie als vertraulich kennzeichnen möchten. Mithilfe der exportierten Datenprofile und der exportierten Beispielfunde können Sie Abfragen ausführen, um weitere Informationen zu den spezifischen Elementen zu erhalten, die gekennzeichnet wurden, den InfoTypes, die übereinstimmten, den genauen Speicherorten, den berechneten Sensitivitätsstufen und anderen Details.

      Für dieses Beispiel müssen sowohl Datenprofilkopien in BigQuery speichern als auch Beispielergebnisse für die Erkennung in BigQuery speichern aktiviert sein.

      In der folgenden Abfrage wird ein INNER JOIN-Vorgang sowohl für die Tabelle mit exportierten Datenprofilen als auch für die Tabelle mit exportierten Beispielergebnissen verwendet. In der resultierenden Tabelle enthält jeder Datensatz das Zitat des Ergebnisses, den InfoType, mit dem es übereinstimmt, die Ressource, die das Ergebnis enthält, und das berechnete Sensitivitätsniveau der Ressource. 

      SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

      So speichern Sie Beispielergebnisse in einer BigQuery-Tabelle:

      1. Aktivieren Sie Beispielergebnisse für die Erkennung in BigQuery speichern.

      2. Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Beispielergebnisse speichern möchten.

        Die Tabelle, die Sie für diese Aktion angeben, muss sich von der Tabelle unterscheiden, die für die Aktion Datenprofilkopien in BigQuery speichern verwendet wird.

        • Geben Sie als Projekt-ID die ID eines vorhandenen Projekts ein, in das Sie die Ergebnisse exportieren möchten.

        • Geben Sie als Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein.

        • Geben Sie für Tabellen-ID den Namen der BigQuery-Tabelle ein, in der Sie die Ergebnisse speichern möchten. Wenn diese Tabelle nicht vorhanden ist, wird sie von Sensitive Data Protection automatisch mit dem von Ihnen angegebenen Namen erstellt.

      Informationen zum Inhalt der einzelnen Ergebnisse, die in der BigQuery-Tabelle gespeichert werden, finden Sie unter DataProfileFinding.

      Tags an Ressourcen anhängen

      Wenn Sie Tags an Ressourcen anhängen aktivieren, werden Ihre Daten automatisch entsprechend der berechneten Vertraulichkeitsstufe getaggt. Für diesen Abschnitt müssen Sie zuerst die Aufgaben unter IAM-Zugriff auf Ressourcen basierend auf der Datenvertraulichkeit steuern ausführen.

      So lassen Sie eine Ressource automatisch anhand der berechneten Vertraulichkeitsstufe taggen:

      1. Aktivieren Sie die Option Ressourcen taggen.

      2. Geben Sie für jede Empfindlichkeitsstufe (hoch, mittel, niedrig und unbekannt) den Pfad des Tag-Werts ein, den Sie für die jeweilige Empfindlichkeitsstufe erstellt haben.

        Wenn Sie eine Vertraulichkeitsstufe überspringen, wird kein Tag dafür angehängt.

      3. Wenn Sie das Datenrisiko einer Ressource automatisch auf NIEDRIG senken möchten, wenn das Tag für die Vertraulichkeitsstufe vorhanden ist, wählen Sie Beim Anwenden eines Tags auf eine Ressource das Datenrisiko ihres Profils auf NIEDRIG setzen aus. Mit dieser Option können Sie die Verbesserung Ihrer Daten- und Datenschutzmaßnahmen messen.

      4. Wählen Sie eine oder beide der folgenden Optionen aus:

        • Ressource taggen, wenn zum ersten Mal ein Profil für sie erstellt wird.

        • Ressource taggen, wenn ihr Profil aktualisiert wird. Wählen Sie diese Option aus, wenn das Tag für die Vertraulichkeitsstufe bei nachfolgenden Erkennungsvorgängen durch Sensitive Data Protection überschrieben werden soll. Daher ändert sich der Zugriff eines Principals auf eine Ressource automatisch, wenn sich der berechnete Datensensibilitätsgrad für diese Ressource erhöht oder verringert.

          Wählen Sie diese Option nicht aus, wenn Sie die Tag-Werte für die Vertraulichkeitsstufe, die der Ermittlungsdienst Ihren Ressourcen zuordnet, manuell aktualisieren möchten. Wenn Sie diese Option auswählen, können Ihre manuellen Aktualisierungen von Sensitive Data Protection überschrieben werden.

      In Pub/Sub veröffentlichen

      Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen basierend auf Profilergebnissen ausführen. Sie können Pub/Sub-Benachrichtigungen verwenden, um einen Workflow zu entwickeln, mit dem sich Ergebnisse mit erheblichem Datenrisiko oder hoher Sensibilität erfassen und beheben lassen.

      So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

      1. Aktivieren Sie In Pub/Sub veröffentlichen.

        Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das dazu führt, dass Sensitive Data Protection eine Benachrichtigung an Pub/Sub sendet.

      2. Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

        Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet Sensitive Data Protection eine Benachrichtigung, wenn sich das Vertraulichkeitsniveau, das Datenrisikoniveau, die erkannten InfoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.

      3. Gehen Sie für jedes ausgewählte Ereignis so vor:

        1. Geben Sie den Namen des Themas ein. Der Name muss folgendes Format haben:

          projects/PROJECT_ID/topics/TOPIC_ID

          Ersetzen Sie Folgendes:

          • PROJECT_ID: die ID des Projekts, das dem Pub/Sub-Thema zugeordnet ist.
          • TOPIC_ID: die ID des Pub/Sub-Themas.

        2. Geben Sie an, ob das vollständige Bucket-Profil in die Benachrichtigung aufgenommen werden soll oder nur der vollständige Ressourcennamen des Buckets, der profiliert wurde.

        3. Legen Sie die Mindeststufen für Datenrisiko und Vertraulichkeit fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.

        4. Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiko und Sensibilität erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl die Bedingungen für das Datenrisiko als auch die für die Sensibilität erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.

      Fallback-Standorte für die Bildverarbeitung festlegen

      Im Allgemeinen werden Ihre Daten bei Sensitive Data Protection an dem Ort verarbeitet, an dem sie gespeichert sind. Bilder können jedoch nur in einer multiregionalen Region oder in der Region global verarbeitet werden. Wenn Sie einen Fallback-Standort festlegen, verwendet Sensitive Data Protection diesen, um Bilder zu verarbeiten, die sich nicht in einer Multi-Region oder in der Region global befinden. Wenn Sie diesen Abschnitt überspringen, werden diese Bilder nicht verarbeitet.

      Wenn Sie Fallback-Standorte für die Bildverarbeitung festlegen möchten, wählen Sie eine oder beide der folgenden Optionen aus:

      • Fallback auf die Multiregion: Wenn ein Bild nicht an seinem ursprünglichen Speicherort verarbeitet werden kann, wird es in der Multiregion verarbeitet, die dem ursprünglichen Speicherort des Bildes entspricht. Wenn der ursprüngliche Speicherort des Bildes keiner Multiregion entspricht, wird das Bild übersprungen.
      • Auf global zurückgreifen: Wenn ein Bild nicht an seinem ursprünglichen Standort verarbeitet werden kann, wird es in der Region global verarbeitet.

      Wenn Sie beide Optionen auswählen, wird von Sensitive Data Protection festgelegt, welcher Standort als Fallback-Standort verwendet wird.

      Speicherort für Konfiguration festlegen

      Klicken Sie auf die Liste Ressourcenstandort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.

      Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Die Daten werden in derselben Region gescannt, in der sie gespeichert sind. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

      Überprüfen und erstellen

      1. Wenn Sie nicht möchten, dass die Profilerstellung automatisch beginnt, nachdem Sie die Scankonfiguration erstellt haben, wählen Sie Scan im pausierten Modus erstellen aus.

        Diese Option ist in den folgenden Fällen nützlich:

        • Sie haben sich dafür entschieden, Datenprofile in BigQuery zu speichern, und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf die BigQuery-Tabelle hat, in der die Datenprofilkopien gespeichert werden.
        • Sie haben sich dafür entschieden, Beispielergebnisse für die Erkennung in BigQuery zu speichern, und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf die BigQuery-Tabelle hat, in der die Beispielergebnisse gespeichert werden.
        • Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Dienst-Agent Veröffentlichungszugriff gewähren.
        • Sie haben die Aktion Tags an Ressourcen anhängen aktiviert und müssen dem Dienst-Agent Zugriff auf das Tag für die Vertraulichkeitsstufe gewähren.
      2. Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.

        Sensitive Data Protection erstellt die Scankonfiguration und fügt sie der Liste der Scankonfigurationen für die Erkennung hinzu.

      Informationen zum Aufrufen oder Verwalten Ihrer Scankonfigurationen finden Sie unter Scankonfigurationen verwalten.

      Nächste Schritte

    12. Datenprofile verwalten
    13. Erfahren Sie, wie Sie Scankonfigurationen verwalten.
    14. Informationen zum Empfangen und Parsen von Pub/Sub-Nachrichten, die vom Data Profiler veröffentlicht werden
    15. Informationen zur Fehlerbehebung bei Datenprofilen