BigQuery-Daten in einem einzelnen Projekt profilieren

Auf dieser Seite wird beschrieben, wie Sie die BigQuery-Datenermittlung auf Projektebene konfigurieren. Wenn Sie ein Profil für eine Organisation oder einen Ordner erstellen möchten, lesen Sie den Abschnitt Profil für BigQuery-Daten in einer Organisation oder einem Ordner erstellen.

Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.

Zum Erstellen von Profildaten erstellen Sie eine Scankonfiguration.

Hinweise

  1. Prüfen Sie, ob die Cloud Data Loss Prevention API für Ihr Projekt aktiviert ist:

    1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    3. Make sure that billing is enabled for your Google Cloud project.

    4. Enable the required API.

      Enable the API

    5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    6. Make sure that billing is enabled for your Google Cloud project.

    7. Enable the required API.

      Enable the API

      8.

    8. Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Projektebene erforderlich sind.

    9. Sie benötigen eine Inspektionsvorlage in jeder Region, in der Sie Daten haben, für die ein Profil erstellt werden soll. Wenn Sie eine einzelne Vorlage für mehrere Regionen verwenden möchten, können Sie eine Vorlage verwenden, die in der Region global gespeichert ist. Wenn Sie aufgrund von Organisationsrichtlinien keine Inspektionsvorlage in der Region global erstellen können, müssen Sie für jede Region eine eigene Inspektionsvorlage festlegen. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

      Mit dieser Aufgabe können Sie nur eine Inspektionsvorlage in der Region global erstellen. Wenn Sie spezielle Inspektionsvorlagen für eine oder mehrere Regionen benötigen, müssen Sie diese Vorlagen erstellen, bevor Sie diese Aufgabe ausführen.

    10. Sie können Sensitive Data Protection so konfigurieren, dass Benachrichtigungen an Pub/Sub gesendet werden, wenn bestimmte Ereignisse eintreten, z. B. wenn Sensitive Data Protection ein Profil für eine neue Tabelle erstellt. Wenn Sie diese Funktion verwenden möchten, müssen Sie zuerst ein Pub/Sub-Thema erstellen.

    11. Sie können Sensitive Data Protection so konfigurieren, dass Tags automatisch an Ihre Ressourcen angehängt werden. Mit dieser Funktion können Sie den Zugriff auf diese Ressourcen basierend auf den berechneten Vertraulichkeitsstufen bedingt gewähren. Wenn Sie diese Funktion verwenden möchten, müssen Sie zuerst die Aufgaben unter IAM-Zugriff auf Ressourcen basierend auf der Datenvertraulichkeit steuern ausführen.

      12. Scankonfiguration erstellen

      1. Rufen Sie die Seite Scankonfiguration erstellen auf.

        Zur Seite „Scankonfiguration erstellen”

      2. Rufen Sie Ihr Projekt auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihr Projekt aus.

      In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scan-Konfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.

      Erkennungstyp auswählen

      Wählen Sie BigQuery aus.

      Bereich auswählen

      Führen Sie einen der folgenden Schritte aus:

      • Wenn Sie eine einzelne Tabelle scannen möchten, wählen Sie Einzelne Tabelle scannen aus.

        Für jede Tabelle kann es nur eine Scankonfiguration für einzelne Ressourcen geben. Weitere Informationen finden Sie unter Einzelne Datenressource profilieren.

        Geben Sie die Details der Tabelle ein, die Sie analysieren möchten.

      • Wenn Sie ein Standardprofiling auf Projektebene durchführen möchten, wählen Sie Ausgewähltes Projekt scannen aus.

      Pläne verwalten

      Wenn die Standardhäufigkeit für das Profiling Ihren Anforderungen entspricht, können Sie diesen Abschnitt der Seite Scankonfiguration erstellen überspringen.

      Konfigurieren Sie diesen Abschnitt aus folgenden Gründen:

      • Sie können die Häufigkeit der Profilerstellung für alle Ihre Daten oder bestimmte Teilmengen Ihrer Daten genau anpassen.
      • Geben Sie die Tabellen an, für die kein Profil erstellt werden soll.
      • Geben Sie die Tabellen an, für die nicht mehr als einmal ein Profil erstellt werden soll.

      So nehmen Sie detaillierte Anpassungen an der Profilerstellungshäufigkeit vor:

      1. Klicken Sie auf Zeitplan hinzufügen.

      2. Im Abschnitt Filter definieren Sie einen oder mehrere Filter, die angeben, welche Tabellen im Umfang des Zeitplans enthalten sind. Eine Tabelle gilt als im Umfang des Zeitplans enthalten, wenn sie mindestens einem der definierten Filter entspricht.

        Geben Sie mindestens eine der folgenden Optionen an, um einen Filter zu konfigurieren:

        • Eine Projekt-ID oder ein regulärer Ausdruck, der ein oder mehrere Projekte angibt
        • Eine Dataset-ID oder ein regulärer Ausdruck, der ein oder mehrere Datasets angibt
        • Eine Tabellen-ID oder ein regulärer Ausdruck, der eine oder mehrere Tabellen angibt

        Reguläre Ausdrücke müssen der RE2-Syntax entsprechen.

        Wenn Sie beispielsweise möchten, dass alle Tabellen in einem Dataset in den Filter einbezogen werden, geben Sie die ID des Datasets an und lassen Sie die beiden anderen Felder leer.

        Damit eine Tabelle einem Filter entspricht, muss sie alle regulären Ausdrücke erfüllen, die in diesem Filter angegeben sind.

        Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.

      3. Klicken Sie auf Häufigkeit.

      4. Geben Sie im Abschnitt Häufigkeit an, ob Sensitive Data Protection Profile für die Tabellen erstellen soll, die Sie in Ihren Filtern definiert haben, und wenn ja, wie oft:

        • Wenn Sie nie möchten, dass für die Tabellen ein Profil erstellt wird, deaktivieren Sie Profil für die Tabellen erstellen.

        • Wenn die Tabellen mindestens einmal profiliert werden sollen, lassen Sie Tabellen profilieren aktiviert.

          In den nachfolgenden Feldern in diesem Abschnitt geben Sie an, ob das System Ihre Daten neu profilieren soll und welche Ereignisse einen solchen Vorgang auslösen sollen. Weitere Informationen finden Sie unter Häufigkeit der Generierung von Datenprofilen.

          1. Geben Sie für Bei Schemaänderungen an, wie oft der Schutz sensibler Daten prüfen soll, ob sich das Schema der ausgewählten Tabellen seit der letzten Profilerstellung geändert hat. Für Tabellen mit Schemaänderungen wird ein neues Profil erstellt.
          2. Geben Sie unter Arten von Schemaänderungen an, welche Arten von Schemaänderungen einen Reprofilierungsvorgang auslösen sollen. Wählen Sie eine der folgenden Optionen aus:
            • Neue Spalten: Erstellen Sie für die Tabellen, die neue Spalten enthalten, ein neues Profil.
            • Entfernte Spalten: Erstellen Sie für die Tabellen, aus denen Spalten entfernt wurden, ein neues Profil.

            Angenommen, Sie haben Tabellen, die jeden Tag neue Spalten erhalten, und Sie müssen ihren Inhalt jedes Mal analysieren. Sie können Bei Schemaänderungen auf Profil täglich neu erstellen und Arten von Schemaänderungen auf Neue Spalten festlegen.

          3. Geben Sie für Bei Tabellenänderungen an, wie oft der Schutz sensibler Daten prüfen soll, ob sich die ausgewählten Tabellen seit der letzten Profilerstellung geändert haben. Für Tabellen mit Änderungen wird ein neues Profil erstellt. Beispiele für Tabellenänderungen sind das Löschen von Zeilen und Schemaänderungen.

            Sie müssen einen Wert auswählen, der gleich oder weniger häufig als der Wert ist, den Sie im Feld Bei Schemaänderungen festgelegt haben.

          4. Geben Sie für Wenn sich die Prüfungsvorlage ändert an, ob und wie oft ein neues Profil für Ihre Daten erstellt werden soll, wenn die zugehörige Prüfungsvorlage aktualisiert wird.

            Eine Änderung an der Inspektionsvorlage wird erkannt, wenn einer der folgenden Fälle eintritt:

            • Der Name einer Inspektionsvorlage in Ihrer Scankonfiguration ändert sich.
            • Die updateTime einer Inspektionsvorlage ändert sich.

            5. Wenn Sie beispielsweise eine Prüfungsvorlage für die Region us-west1 festlegen und diese Vorlage aktualisieren, wird nur für Daten in der Region us-west1 ein neues Profil erstellt.

      5. Klicken Sie auf Bedingungen.

      6. Geben Sie im Abschnitt Bedingungen alle Bedingungen an, die die in Ihren Filtern definierten Tabellen erfüllen müssen, bevor Sensitive Data Protection ein Profil für sie erstellt. Wenn Sie Mindestbedingungen und die Zeitbedingung festlegen, erstellt Sensitive Data Protection nur für Tabellen ein Profil, die beide Arten von Bedingungen erfüllen.

        • Mindestbedingungen: Diese Bedingungen sind nützlich, wenn Sie das Profiling einer Tabelle verzögern möchten, bis sie genügend Zeilen enthält oder ein bestimmtes Alter erreicht hat. Aktivieren Sie die gewünschten Bedingungen und geben Sie die Mindestanzahl von Zeilen oder die Mindestdauer an.
        • Zeitbedingung: Diese Bedingung ist nützlich, wenn Sie nicht möchten, dass alte Tabellen jemals profiliert werden. Aktivieren Sie die Zeitbedingung und wählen Sie ein Datum und eine Uhrzeit aus. Alle Tabellen, die an oder vor diesem Datum erstellt wurden, werden nicht in die Profilerstellung einbezogen.

        Beispielbedingungen

        Angenommen, Sie haben die folgende Konfiguration:

        • Mindestbedingungen

          • Mindestanzahl von Zeilen: 10 Zeilen
          • Mindestdauer: 24 Stunden

        • Zeitbedingung

          • Zeitstempel: 04.05.2022, 23:59 Uhr

        In diesem Fall werden alle Tabellen, die am oder vor dem 5. Mai 2022 um 23:59 Uhr erstellt wurden, von Sensitive Data Protection ausgeschlossen. Von den Tabellen, die nach diesem Datum und dieser Uhrzeit erstellt wurden, erstellt Sensitive Data Protection nur für die Tabellen ein Profil, die entweder 10 Zeilen haben oder mindestens 24 Stunden alt sind.

      7. Wählen Sie im Bereich Tabellen für die Profilerstellung je nach den Tabellentypen, für die Sie ein Profil erstellen möchten, eine der folgenden Optionen aus:

        • Alle Tabellen profilieren: Wählen Sie diese Option aus, wenn der Schutz sensibler Daten alle Arten von Tabellen profilieren soll, die Ihren Filtern und Bedingungen entsprechen.

          Für nicht unterstützte Tabellentypen werden nur teilweise ausgefüllte Profile erstellt. In solchen Profilen werden Fehler angezeigt, die darauf hinweisen, dass die zugehörigen Tabellen nicht unterstützt werden. Wählen Sie diese Option aus, wenn Sie die Teilprofile trotz der Fehlermeldungen sehen möchten.

          Wenn der Schutz sensibler Daten einen neuen Tabellentyp unterstützt, werden Tabellen dieses Typs beim nächsten geplanten Lauf vollständig neu profiliert.

        • Unterstützte Tabellen profilieren: Wählen Sie diese Option aus, wenn Sensitive Data Protection nur die unterstützten Tabellen profilieren soll, die Ihren Filtern und Bedingungen entsprechen. Für nicht unterstützte Tabellen werden keine Teilprofile erstellt.

        • Profilspezifische Tabellentypen: Wählen Sie diese Option aus, wenn der Schutz sensibler Daten nur die von Ihnen ausgewählten Tabellentypen analysieren soll. Wählen Sie in der angezeigten Liste einen oder mehrere Typen aus.

          Wenn der Schutz sensibler Daten einen neuen Tabellentyp unterstützt, werden Tabellen dieses Typs nicht automatisch profiliert. Wenn Sie neu unterstützte Tabellentypen profilieren möchten, müssen Sie Ihre Scankonfiguration bearbeiten und diese Typen auswählen.

        Wenn Sie keine Option auswählen, erstellt Sensitive Data Protection nur Profile für BigQuery-Tabellen und zeigt Fehler für nicht unterstützte Tabellen an.

        Die Preise für die Datenprofilerstellung variieren je nach den profilierten Tabellentypen. Weitere Informationen finden Sie unter Preise für die Datenprofilerstellung.

      8. Klicken Sie auf Fertig.

      9. Optional: Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.

      10. Wenn Sie die Priorität zwischen Zeitplänen festlegen möchten, ordnen Sie sie mit den Aufwärts- und Abwärtspfeilen  und neu an.

        Die Reihenfolge der Zeitpläne gibt an, wie Konflikte zwischen Zeitplänen behoben werden. Wenn eine Tabelle mit den Filtern von zwei verschiedenen Zeitplänen übereinstimmt, bestimmt der Zeitplan, der in der Liste weiter oben steht, die Profilerstellungshäufigkeit für diese Tabelle.

      11. Optional: Bearbeiten oder deaktivieren Sie den Catch-all-Zeitplan.

        Der letzte Zeitplan in der Liste ist der Auffangzeitplan. Dieser Zeitplan umfasst die Tabellen in Ihrem ausgewählten Bereich, die keinem der von Ihnen erstellten Zeitpläne entsprechen. Für den Auffangzeitplan gilt die Standardhäufigkeit für die Profilerstellung.

        • Wenn Sie den Auffangzeitplan anpassen möchten, klicken Sie auf  Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.
        • Wenn Sie verhindern möchten, dass Sensitive Data Protection ein Profil für Ressourcen erstellt, die vom Sammelzeitplan abgedeckt werden, deaktivieren Sie Profil der Ressourcen erstellen, die keinem benutzerdefinierten Zeitplan entsprechen.

      Inspektionsvorlage auswählen

      Wählen Sie eine der folgenden Optionen aus, je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten. Unabhängig davon, welche Option Sie auswählen, scannt Sensitive Data Protection Ihre Daten in der Region, in der sie gespeichert sind. Das heißt, Ihre Daten verlassen nicht ihre Ursprungsregion.

      Option 1: Inspektionsvorlage erstellen

      Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

      1. Klicken Sie auf Neue Inspektionsvorlage erstellen.

      2. Optional: Wenn Sie die Standardauswahl von infoTypes ändern möchten, klicken Sie auf infoTypes verwalten.

        Weitere Informationen zum Verwalten von integrierten und benutzerdefinierten infoTypes finden Sie unter infoTypes über dieGoogle Cloud Console verwalten.

        Sie müssen mindestens einen infoType auswählen, um fortzufahren.

      3. Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

      Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global gespeichert.

      Option 2: Vorhandene Inspektionsvorlage verwenden

      Wählen Sie diese Option aus, wenn Sie vorhandene Inspektionsvorlagen verwenden möchten.

      1. Klicken Sie auf Vorhandene Inspektionsvorlage wählen.
      2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der Ihre Inspektionsvorlage gespeichert ist.

        Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region wie die Daten befinden, für die ein Profil erstellt werden soll.

        Um den Datenstandort zu berücksichtigen, verwendet Sensitive Data Protection keine Inspektionsvorlage außerhalb der Region, in der sie gespeichert ist.

        So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:

        1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.

          Inspektionsvorlagen aufrufen

        2. Wechseln Sie zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.
        3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.
        4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat dieses Format: 
          projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
        5. Fügen Sie auf der Seite Scankonfiguration erstellen im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.
      3. Wenn Sie eine Inspektionsvorlage für eine andere Region hinzufügen möchten, klicken Sie auf Inspektionsvorlage hinzufügen und geben Sie den vollständigen Ressourcennamen der Vorlage ein. Wiederholen Sie diesen Schritt für jede Region, für die Sie eine eigene Inspektionsvorlage haben.
      4. Optional: Fügen Sie eine Inspektionsvorlage hinzu, die in der Region global gespeichert ist. Sensitive Data Protection verwendet diese Vorlage automatisch für Daten in Regionen, für die Sie keine dedizierte Inspektionsvorlage haben.

      Aktionen hinzufügen

      In diesem Abschnitt wird beschrieben, wie Sie Aktionen angeben, die Sensitive Data Protection nach der Profilerstellung für eine Tabelle ausführen soll. Diese Aktionen sind nützlich, wenn Sie aus Datenprofilen gewonnene Statistiken an andereGoogle Cloud -Dienste senden möchten.

      In Security Command Center veröffentlichen

      Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Ihre Ergebnisse zu Sicherheitslücken und Bedrohungen in Security Command Center priorisieren und Reaktionspläne entwickeln.

      Bevor Sie diese Aktion verwenden können, muss Security Command Center auf Organisationsebene aktiviert sein. Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Ergebnisse von integrierten Diensten wie dem Schutz sensibler Daten übertragen werden. Sensitive Data Protection funktioniert mit allen Dienststufen von Security Command Center.

      Wenn Security Command Center nicht auf Organisationsebene aktiviert ist, werden Ergebnisse zum Schutz sensibler Daten nicht im Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.

      Wenn Sie die Ergebnisse Ihrer Datenprofile an Security Command Center senden möchten, muss die Option In Security Command Center veröffentlichen aktiviert sein.

      Weitere Informationen finden Sie unter Datenprofile in Security Command Center veröffentlichen.

      Datenprofilkopien in BigQuery speichern

      Sensitive Data Protection speichert eine Kopie jedes generierten Datenprofils in einer BigQuery-Tabelle. Wenn Sie keine Details zur bevorzugten Tabelle angeben, erstellt Sensitive Data Protection ein Dataset und eine Tabelle im Projekt. Standardmäßig heißt das Dataset sensitive_data_protection_discovery und die Tabelle discovery_profiles.

      Mit dieser Option können Sie einen Verlauf aller generierten Profile speichern. Dieser Verlauf kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

      Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht ansehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Sie können sich die Datenprofile zwar auch über dieGoogle Cloud Console ansehen, dort werden die Profile jedoch jeweils nur in einer Region angezeigt.

      Wenn der Schutz sensibler Daten kein Profil für eine Tabelle erstellen kann, wird der Vorgang regelmäßig wiederholt. Um das Rauschen in den exportierten Daten zu minimieren, exportiert Sensitive Data Protection nur erfolgreich generierte Profile nach BigQuery.

      Sensitive Data Protection beginnt mit dem Exportieren von Profilen, sobald Sie diese Option aktivieren. Profile, die vor dem Aktivieren des Exports generiert wurden, werden nicht in BigQuery gespeichert.

      Beispielabfragen, die Sie bei der Analyse von Datenprofilen verwenden können, finden Sie unter Datenprofile analysieren.

      Beispielergebnisse für die Erkennung in BigQuery speichern

      Der Schutz sensibler Daten kann Beispielergebnisse in eine BigQuery-Tabelle Ihrer Wahl einfügen. Die Beispielfunde stellen eine Teilmenge aller Funde dar und enthalten möglicherweise nicht alle erkannten infoTypes. Normalerweise generiert das System etwa 10 Beispielfunde pro Tabelle. Diese Anzahl kann jedoch für jeden Erkennungslauf variieren.

      Jedes Ergebnis enthält den erkannten String (auch Zitat genannt) und seinen genauen Speicherort.

      Diese Aktion ist nützlich, wenn Sie prüfen möchten, ob Ihre Prüfungskonfiguration dem Typ von Informationen entspricht, die Sie als vertraulich kennzeichnen möchten. Mithilfe der exportierten Datenprofile und der exportierten Beispielfunde können Sie Abfragen ausführen, um weitere Informationen zu den spezifischen Elementen zu erhalten, die gekennzeichnet wurden, den InfoTypes, die übereinstimmten, den genauen Speicherorten, den berechneten Sensitivitätsstufen und anderen Details.

      Für dieses Beispiel müssen sowohl Datenprofilkopien in BigQuery speichern als auch Beispielergebnisse für die Erkennung in BigQuery speichern aktiviert sein.

      In der folgenden Abfrage wird ein INNER JOIN-Vorgang sowohl für die Tabelle mit exportierten Datenprofilen als auch für die Tabelle mit exportierten Beispielergebnissen verwendet. In der resultierenden Tabelle enthält jeder Datensatz das Zitat des Ergebnisses, den InfoType, mit dem es übereinstimmt, die Ressource, die das Ergebnis enthält, und das berechnete Sensitivitätsniveau der Ressource. 

      SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

      So speichern Sie Beispielergebnisse in einer BigQuery-Tabelle:

      1. Aktivieren Sie Beispielergebnisse für die Erkennung in BigQuery speichern.

      2. Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Beispielergebnisse speichern möchten.

        Die Tabelle, die Sie für diese Aktion angeben, muss sich von der Tabelle unterscheiden, die für die Aktion Datenprofilkopien in BigQuery speichern verwendet wird.

        • Geben Sie als Projekt-ID die ID eines vorhandenen Projekts ein, in das Sie die Ergebnisse exportieren möchten.

        • Geben Sie als Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein.

        • Geben Sie für Tabellen-ID den Namen der BigQuery-Tabelle ein, in der Sie die Ergebnisse speichern möchten. Wenn diese Tabelle nicht vorhanden ist, wird sie von Sensitive Data Protection automatisch mit dem von Ihnen angegebenen Namen erstellt.

      Informationen zum Inhalt der einzelnen Ergebnisse, die in der BigQuery-Tabelle gespeichert werden, finden Sie unter DataProfileFinding.

      Tags an Ressourcen anhängen

      Wenn Sie Tags an Ressourcen anhängen aktivieren, werden Ihre Daten automatisch entsprechend der berechneten Vertraulichkeitsstufe getaggt. Für diesen Abschnitt müssen Sie zuerst die Aufgaben unter IAM-Zugriff auf Ressourcen basierend auf der Datenvertraulichkeit steuern ausführen.

      So lassen Sie eine Ressource automatisch anhand der berechneten Vertraulichkeitsstufe taggen:

      1. Aktivieren Sie die Option Ressourcen taggen.

      2. Geben Sie für jede Empfindlichkeitsstufe (hoch, mittel, niedrig und unbekannt) den Pfad des Tag-Werts ein, den Sie für die jeweilige Empfindlichkeitsstufe erstellt haben.

        Wenn Sie eine Vertraulichkeitsstufe überspringen, wird kein Tag dafür angehängt.

      3. Wenn Sie das Datenrisiko einer Ressource automatisch auf NIEDRIG senken möchten, wenn das Tag für die Vertraulichkeitsstufe vorhanden ist, wählen Sie Beim Anwenden eines Tags auf eine Ressource das Datenrisiko ihres Profils auf NIEDRIG setzen aus. Mit dieser Option können Sie die Verbesserung Ihrer Daten- und Datenschutzmaßnahmen messen.

      4. Wählen Sie eine oder beide der folgenden Optionen aus:

        • Ressource taggen, wenn zum ersten Mal ein Profil für sie erstellt wird.

        • Ressource taggen, wenn ihr Profil aktualisiert wird. Wählen Sie diese Option aus, wenn das Tag für die Vertraulichkeitsstufe bei nachfolgenden Erkennungsvorgängen durch Sensitive Data Protection überschrieben werden soll. Daher ändert sich der Zugriff eines Principals auf eine Ressource automatisch, wenn sich der berechnete Datensensibilitätsgrad für diese Ressource erhöht oder verringert.

          Wählen Sie diese Option nicht aus, wenn Sie die Tag-Werte für die Vertraulichkeitsstufe, die der Ermittlungsdienst Ihren Ressourcen zuordnet, manuell aktualisieren möchten. Wenn Sie diese Option auswählen, können Ihre manuellen Aktualisierungen von Sensitive Data Protection überschrieben werden.

      In Pub/Sub veröffentlichen

      Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen basierend auf Profilergebnissen ausführen. Sie können Pub/Sub-Benachrichtigungen verwenden, um einen Workflow zu entwickeln, mit dem sich Ergebnisse mit erheblichem Datenrisiko oder hoher Sensibilität erfassen und beheben lassen.

      So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

      1. Aktivieren Sie In Pub/Sub veröffentlichen.

        Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das dazu führt, dass Sensitive Data Protection eine Benachrichtigung an Pub/Sub sendet.

      2. Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

        Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet Sensitive Data Protection eine Benachrichtigung, wenn sich das Vertraulichkeitsniveau, das Datenrisikoniveau, die erkannten InfoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.

      3. Gehen Sie für jedes ausgewählte Ereignis so vor:

        1. Geben Sie den Namen des Themas ein. Der Name muss folgendes Format haben:

          projects/PROJECT_ID/topics/TOPIC_ID

          Ersetzen Sie Folgendes:

          • PROJECT_ID: die ID des Projekts, das dem Pub/Sub-Thema zugeordnet ist.
          • TOPIC_ID: die ID des Pub/Sub-Themas.

        2. Geben Sie an, ob das vollständige Tabellenprofil oder nur der vollständige Ressourcenname der profilierten Tabelle in die Benachrichtigung aufgenommen werden soll.

        3. Legen Sie die Mindeststufen für Datenrisiko und Vertraulichkeit fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.

        4. Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiko und Sensibilität erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl die Bedingungen für das Datenrisiko als auch die für die Sensibilität erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.

      Als Tags an Data Catalog senden

      Diese Funktion ist veraltet.

      Mit dieser Aktion können Sie Data Catalog-Tags in Dataplex Universal Catalog auf Grundlage von Statistiken aus Datenprofilen erstellen. Diese Aktion wird nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Dataplex Universal Catalog gesendet.

      Data Catalog ist ein vollständig verwalteter, skalierbarer Dienst zur Metadatenverwaltung. Wenn Sie diese Aktion aktivieren, werden Tabellen, für die Sie ein Profil erstellen, automatisch in Data Catalog mit Tags versehen. Die Tags basieren auf den Statistiken, die aus den Datenprofilen gewonnen werden. Anschließend können Sie mit Dataplex Universal Catalog in Ihrer Organisation und Ihren Projekten nach Tabellen mit bestimmten Tag-Werten suchen.

      Wenn Sie die Datenprofile als Data Catalog-Tags an Dataplex Universal Catalog senden möchten, muss die Option Als Tags an Dataplex senden aktiviert sein.

      Weitere Informationen finden Sie unter Tabellen im Data Catalog anhand von Statistiken aus Datenprofilen taggen.

      Als Aspekte an Dataplex Universal Catalog senden

      Mit dieser Aktion können Sie Dataplex Universal Catalog-Aspekte auf Grundlage von Erkenntnissen aus Datenprofilen zu profilierten Tabellen hinzufügen. Diese Aktion wird nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Dataplex Universal Catalog gesendet.

      Wenn Sie diese Aktion aktivieren, fügt Sensitive Data Protection den Sensitive Data Protection profile-Aspekt an den Dataplex Universal Catalog-Eintrag für jede neue oder aktualisierte Tabelle an, die Sie profilieren. Die generierten Aspekte enthalten Statistiken, die aus den Datenprofilen stammen. Anschließend können Sie in Ihrer Organisation und in Ihren Projekten nach Einträgen mit bestimmten Sensitive Data Protection profile-Aspektwerten suchen.

      Wenn Sie die Datenprofile an Dataplex Universal Catalog senden möchten, muss die Option Als Aspekte an Dataplex Catalog senden aktiviert sein.

      Weitere Informationen finden Sie unter Dataplex Universal Catalog-Aspekte basierend auf Erkenntnissen aus Datenprofilen hinzufügen.

      Speicherort für Konfiguration festlegen

      Klicken Sie auf die Liste Ressourcenstandort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.

      Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Die Daten werden in derselben Region gescannt, in der sie gespeichert sind. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

      Überprüfen und erstellen

      1. Wenn Sie nicht möchten, dass die Profilerstellung automatisch beginnt, nachdem Sie die Scankonfiguration erstellt haben, wählen Sie Scan im pausierten Modus erstellen aus.

        Diese Option ist in den folgenden Fällen nützlich:

        • Sie haben sich dafür entschieden, Datenprofile in BigQuery zu speichern, und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf die BigQuery-Tabelle hat, in der die Datenprofilkopien gespeichert werden.
        • Sie haben sich dafür entschieden, Beispielergebnisse für die Erkennung in BigQuery zu speichern, und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf die BigQuery-Tabelle hat, in der die Beispielergebnisse gespeichert werden.
        • Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Dienst-Agent Veröffentlichungszugriff gewähren.
        • Sie haben die Aktion Tags an Ressourcen anhängen aktiviert und müssen dem Dienst-Agent Zugriff auf das Tag für die Vertraulichkeitsstufe gewähren.
      2. Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.

        Sensitive Data Protection erstellt die Scankonfiguration und fügt sie der Liste der Scankonfigurationen für die Erkennung hinzu.

      Informationen zum Aufrufen oder Verwalten Ihrer Scankonfigurationen finden Sie unter Scankonfigurationen verwalten.

      Wenn Ihr Dienst-Agent die Rollen hat, die für den Zugriff und die Profilerstellung für Ihre Daten erforderlich sind, beginnt Sensitive Data Protection mit dem Scannen Ihrer Daten kurz nach dem Erstellen der Scankonfiguration oder dem Fortsetzen einer pausierten Konfiguration. Andernfalls zeigt Sensitive Data Protection einen Fehler an, wenn Sie die Details zur Scankonfiguration aufrufen.

      Nächste Schritte

    12. Datenprofile verwalten
    13. Erfahren Sie, wie Sie Scankonfigurationen verwalten.
    14. Informationen zum Empfangen und Parsen von Pub/Sub-Nachrichten, die vom Data Profiler veröffentlicht werden
    15. Informationen zur Fehlerbehebung bei Datenprofilen