Auf dieser Seite wird beschrieben, wie Sie die BigQuery-Datenermittlung auf Projektebene konfigurieren. Informationen zum Erstellen eines Profils für eine Organisation oder einen Ordner finden Sie unter BigQuery-Daten in einer Organisation oder einem Ordner profilieren.
Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.
Erstellen Sie eine Scankonfiguration, um mit der Profilerstellung zu beginnen.
Hinweise
Achten Sie darauf, dass die Cloud Data Loss Prevention API für Ihr Projekt aktiviert ist:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Projektebene erforderlich sind.
Sie benötigen eine Inspektionsvorlage in jeder Region, in der Sie Daten haben, für die ein Profil erstellt werden soll. Wenn Sie eine einzelne Vorlage für mehrere Regionen verwenden möchten, können Sie eine Vorlage verwenden, die in der Region
global
gespeichert ist. Wenn Sie aufgrund von organisatorischen Richtlinien keine Inspektionsvorlage in der Regionglobal
erstellen können, müssen Sie für jede Region eine eigene Inspektionsvorlage festlegen. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.Mit dieser Aufgabe können Sie eine Inspektionsvorlage nur in der Region
global
erstellen. Wenn Sie spezielle Inspektionsvorlagen für eine oder mehrere Regionen benötigen, müssen Sie diese vor der Durchführung dieser Aufgabe erstellen.Sie können Sensitive Data Protection so konfigurieren, dass bei bestimmten Ereignissen Benachrichtigungen an Pub/Sub gesendet werden, z. B. wenn Sensitive Data Protection ein neues Tabellenprofil erstellt. Wenn Sie diese Funktion verwenden möchten, müssen Sie zuerst ein Pub/Sub-Thema erstellen.
Sie können den Schutz sensibler Daten so konfigurieren, dass Ihren Ressourcen automatisch Tags hinzugefügt werden. Mit dieser Funktion können Sie den Zugriff auf diese Ressourcen basierend auf den berechneten Sensibilitätsstufen bedingt gewähren. Wenn Sie diese Funktion verwenden möchten, müssen Sie zuerst die Aufgaben unter IAM-Zugriff auf Ressourcen basierend auf der Datensensibilität steuern ausführen.
Scankonfiguration erstellen
Rufen Sie die Seite Scankonfiguration erstellen auf.
Rufen Sie Ihr Projekt auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihr Projekt aus.
In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scankonfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.
Erkennungstyp auswählen
Wählen Sie BigQuery aus.
Bereich auswählen
Führen Sie einen der folgenden Schritte aus:Wenn Sie eine einzelne Tabelle scannen möchten, wählen Sie Einzelne Tabelle scannen aus.
Für jede Tabelle kann es nur eine Scankonfiguration für eine einzelne Ressource geben. Weitere Informationen finden Sie unter Profil einer einzelnen Datenressource erstellen.
Geben Sie die Details der Tabelle ein, für die Sie ein Profil erstellen möchten.
Wenn Sie ein standardmäßiges Profiling auf Projektebene ausführen möchten, wählen Sie Ausgewähltes Projekt scannen aus.
Pläne verwalten
Wenn die Standardprofilierungshäufigkeit Ihren Anforderungen entspricht, können Sie diesen Abschnitt der Seite Scankonfiguration erstellen überspringen.
Konfigurieren Sie diesen Abschnitt aus folgenden Gründen:
- Sie können die Häufigkeit der Profilerstellung für alle Ihre Daten oder bestimmte Teilmengen Ihrer Daten feinanpassen.
- Hier können Sie die Tabellen angeben, für die kein Profil erstellt werden soll.
- Hier können Sie die Tabellen angeben, für die nicht mehrmals ein Profil erstellt werden soll.
So nehmen Sie detaillierte Anpassungen an der Profilierungshäufigkeit vor:
- Klicken Sie auf Zeitplan hinzufügen.
Im Bereich Filter definieren Sie einen oder mehrere Filter, mit denen Sie angeben, welche Tabellen in den Umfang des Zeitplans fallen.
Geben Sie mindestens eine der folgenden Angaben an:
- Eine Projekt-ID oder ein regulärer Ausdruck, der ein oder mehrere Projekte angibt
- Dataset-ID oder regulärer Ausdruck, der ein oder mehrere Datasets angibt
- Eine Tabellen-ID oder ein regulärer Ausdruck, der eine oder mehrere Tabellen angibt
Reguläre Ausdrücke müssen der RE2-Syntax folgen.
Wenn Sie beispielsweise alle Tabellen in einem Datensatz in den Filter aufnehmen möchten, geben Sie die ID dieses Datensatzes an und lassen Sie die beiden anderen Felder leer.
Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.
Klicken Sie auf Häufigkeit.
Geben Sie im Bereich Häufigkeit an, ob der Schutz sensibler Daten die in Ihren Filtern definierten Tabellen profilieren soll und, falls ja, wie oft:
Wenn für die Tabellen nie ein Profil erstellt werden soll, deaktivieren Sie Profile für die Tabellen erstellen.
Wenn die Tabellen mindestens einmal profiliert werden sollen, lassen Sie Tabellen profilieren aktiviert.
In den folgenden Feldern in diesem Abschnitt geben Sie an, ob das System Ihre Daten neu profilieren soll und welche Ereignisse einen Neuprofilierungsvorgang auslösen sollen. Weitere Informationen finden Sie unter Häufigkeit der Generierung von Datenprofilen.
- Geben Sie unter Bei Schemaänderungen an, wie oft der Schutz sensibler Daten prüfen soll, ob sich das Schema der ausgewählten Tabellen nach der letzten Profilerstellung geändert hat. Nur Tabellen mit Schemaänderungen werden neu profiliert.
- Geben Sie unter Arten von Schemaänderungen an, welche Arten von Schemaänderungen einen Neuprofilierungsvorgang auslösen sollen. Wählen Sie eine der folgenden Optionen aus:
- Neue Spalten: Erstellen Sie neue Profile für die Tabellen, in denen neue Spalten hinzugefügt wurden.
- Entfernte Spalten: Erstellen Sie neue Profile für die Tabellen, aus denen Spalten entfernt wurden.
Angenommen, Sie haben Tabellen, die jeden Tag neue Spalten erhalten, und Sie müssen deren Inhalt jedes Mal profilieren. Sie können für Bei Schemaänderungen die Option Profil täglich neu erstellen und für Arten von Schemaänderungen die Option Neue Spalten festlegen.
- Geben Sie unter Bei Tabellenänderungen an, wie oft der Schutz sensibler Daten prüfen soll, ob sich die ausgewählten Tabellen seit der letzten Profilerstellung geändert haben. Nur Tabellen mit Änderungen werden neu profiliert. Beispiele für Tabellenänderungen sind das Löschen von Zeilen und Schemaänderungen.
Sie müssen einen Wert auswählen, der mit dem Wert im Feld Bei Schemaänderungen identisch oder seltener ist.
- Geben Sie unter Wenn sich die Prüfungsvorlage ändert an, ob ein neues Profil für Ihre Daten erstellt werden soll, wenn die zugehörige Prüfungsvorlage aktualisiert wird, und falls ja, wie oft.
Eine Änderung an der Inspektionsvorlage wird erkannt, wenn eines der folgenden Ereignisse eintritt:
- Der Name einer Inspektionsvorlage ändert sich in Ihrer Scankonfiguration.
- Die
updateTime
einer Inspektionsvorlage ändert sich.
Wenn Sie beispielsweise eine Inspektionsvorlage für die Region
us-west1
festlegen und diese Inspektionsvorlage aktualisieren, wird nur für Daten in der Regionus-west1
ein neues Profil erstellt.
Klicken Sie auf Bedingungen.
Geben Sie im Abschnitt Bedingungen alle Bedingungen an, die die in Ihren Filtern definierten Tabellen erfüllen müssen, bevor der Schutz sensibler Daten Profile dafür erstellt. Wenn Sie Mindestbedingungen und die Zeitbedingung festlegen, erstellt der Schutz sensibler Daten nur für Tabellen ein Profil, die beide Arten von Bedingungen erfüllen.
- Mindestbedingungen: Diese Bedingungen sind nützlich, wenn Sie das Profiling einer Tabelle verzögern möchten, bis sie genügend Zeilen hat oder ein bestimmtes Alter erreicht. Aktivieren Sie die Bedingungen, die Sie anwenden möchten, und geben Sie die Mindestzeilenanzahl oder -dauer an.
- Zeitbedingung: Diese Bedingung ist nützlich, wenn alte Tabellen nicht profiliert werden sollen. Aktivieren Sie die Zeitbedingung und wählen Sie ein Datum und eine Uhrzeit aus. Alle Tabellen, die an oder vor diesem Datum erstellt wurden, werden vom Profiling ausgeschlossen.
Beispielbedingungen
Angenommen, Sie haben folgende Konfiguration:
Mindestbedingungen
- Mindestanzahl von Zeilen: 10 Zeilen
- Mindestdauer: 24 Stunden
Zeitbedingung
- Zeitstempel: 4. Mai 2022, 23:59 Uhr
In diesem Fall werden alle Tabellen, die am oder vor dem 4. Mai 2022 um 23:59 Uhr erstellt wurden, vom Sensitive Data Protection-Filter ausgeschlossen. Unter den nach diesem Datum und dieser Uhrzeit erstellten Tabellen werden nur die Tabellen mit 10 Zeilen oder mindestens 24 Stunden alt von Sensitive Data Protection profiliert.
Wählen Sie im Bereich Tabellen für die Profilerstellung je nach den Tabellentypen, die Sie profilieren möchten, eine der folgenden Optionen aus:
Alle Tabellen profilieren: Wählen Sie diese Option aus, wenn der Schutz sensibler Daten alle Tabellentypen profilieren soll, die Ihren Filtern und Bedingungen entsprechen.
Für nicht unterstützte Tabellentypen werden nur teilweise ausgefüllte Profile erstellt. Bei solchen Profilen werden Fehler angezeigt, die darauf hinweisen, dass die zugehörigen Tabellen nicht unterstützt werden. Wählen Sie diese Option aus, wenn Sie die teilweisen Profile trotz der Fehlermeldungen sehen möchten.
Wenn der Schutz sensibler Daten in Zukunft neue Tabellentypen unterstützt, werden Tabellen dieses Typs bei der nächsten geplanten Ausführung vollständig neu profiliert.
Unterstützte Tabellen profilieren: Wählen Sie diese Option aus, wenn mit Sensitive Data Protection nur die unterstützten Tabellen profiliert werden sollen, die Ihren Filtern und Bedingungen entsprechen. Für nicht unterstützte Tabellen werden keine Teilprofile erstellt.
Bestimmte Tabellentypen profilieren: Wählen Sie diese Option aus, wenn Sie mit dem Schutz sensibler Daten nur die von Ihnen ausgewählten Tabellentypen profilieren möchten. Wählen Sie in der Liste einen oder mehrere Typen aus.
Wenn der Schutz sensibler Daten die Unterstützung für einen neuen Tabellentyp hinzufügt, werden Tabellen dieses Typs nicht automatisch profiliert. Wenn Sie neu unterstützte Tabellentypen profilieren möchten, müssen Sie Ihre Scankonfiguration bearbeiten und diese Typen auswählen.
Wenn Sie keine Option auswählen, werden nur BigQuery-Tabellen für den Schutz sensibler Daten profiliert und für nicht unterstützte Tabellen werden Fehler angezeigt.
Die Preise für das Datenprofiling variieren je nach Art der Tabellen. Weitere Informationen finden Sie unter Preise für das Datenprofiling.
Klicken Sie auf Fertig.
Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.
Wenn Sie die Priorität zwischen den Zeitplänen festlegen möchten, ordnen Sie sie mit den Pfeilen nach oben
und nach unten neu an.Die Reihenfolge der Zeitpläne gibt an, wie Konflikte zwischen Zeitplänen gelöst werden. Wenn eine Tabelle mit den Filtern zweier verschiedener Zeitpläne übereinstimmt, wird die Profilerstellungshäufigkeit für diese Tabelle durch den Zeitplan bestimmt, der in der Liste der Zeitpläne weiter oben steht.
Der letzte Zeitplan in der Liste ist immer der mit der Bezeichnung Standardzeitplan. Dieser Standardzeitplan deckt die Tabellen im ausgewählten Bereich ab, die keinem der von Ihnen erstellten Zeitpläne entsprechen. Dieser Standardzeitplan folgt der Standardhäufigkeit der Profilerstellung.
Wenn Sie den Standardzeitplan anpassen möchten, klicken Sie auf
Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.
Inspektionsvorlage auswählen
Wählen Sie je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten, eine der folgenden Optionen aus. Unabhängig von der ausgewählten Option werden Ihre Daten beim Schutz sensibler Daten in der Region gescannt, in der sie gespeichert sind. Das heißt, Ihre Daten verlassen nicht ihre Herkunftsregion.
Option 1: Inspektionsvorlage erstellen
Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global
erstellen möchten.
- Klicken Sie auf Neue Inspektionsvorlage erstellen.
Optional: Klicken Sie auf InfoTypes verwalten, um die Standardauswahl der InfoTypes zu ändern.
Weitere Informationen zum Verwalten integrierter und benutzerdefinierter infoTypes finden Sie unter infoTypes über die Google Cloud Console verwalten.
Sie müssen mindestens einen „infoType“ ausgewählt haben, um fortzufahren.
Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.
Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global
gespeichert.
Option 2: Vorhandene Inspektionsvorlage verwenden
Wählen Sie diese Option aus, wenn Sie vorhandene Inspektionsvorlagen verwenden möchten.
- Klicken Sie auf Vorhandene Inspektionsvorlage wählen.
- Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten.
Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der sich Ihre Inspektionsvorlage befindet.
Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region wie die Daten befinden, für die ein Profil erstellt werden soll.
Um den Datenstandort einzuhalten, wird beim Schutz sensibler Daten keine Inspektionsvorlage außerhalb der Region verwendet, in der sie gespeichert ist.
So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:
- Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.
- Wechseln Sie zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.
- Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.
- Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat folgendes Format:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
- Fügen Sie auf der Seite Scankonfiguration erstellen im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.
- Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.
- Wenn Sie eine Inspektionsvorlage für eine andere Region hinzufügen möchten, klicken Sie auf Inspektionsvorlage hinzufügen und geben Sie den vollständigen Ressourcennamen der Vorlage ein. Wiederholen Sie diesen Vorgang für jede Region, für die Sie eine spezielle Inspektionsvorlage haben.
- Optional: Fügen Sie eine Inspektionsvorlage hinzu, die in der Region
global
gespeichert ist. Der Schutz sensibler Daten verwendet diese Vorlage automatisch für Daten in Regionen, in denen Sie keine spezielle Inspektionsvorlage haben.
Aktionen hinzufügen
In den folgenden Abschnitten geben Sie Aktionen an, die der Schutz sensibler Daten ausführen soll, nachdem die Datenprofile generiert wurden.
Informationen dazu, wie andere Google Cloud-Dienste die Konfiguration von Aktionen in Rechnung stellen, finden Sie unter Preise für den Export von Datenprofilen.
In Security Command Center veröffentlichen
Die Ergebnisse aus Datenprofilen liefern Kontext, wenn Sie Sicherheitslücken und Bedrohungen im Security Command Center priorisieren und Reaktionspläne entwickeln.
Bevor Sie diese Aktion verwenden können, muss Security Command Center auf Organisationsebene aktiviert sein. Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Ergebnisse aus integrierten Diensten wie dem Schutz sensibler Daten abgerufen werden. Der Schutz sensibler Daten funktioniert mit allen Dienststufen von Security Command Center.Wenn Security Command Center nicht auf Organisationsebene aktiviert ist, werden keine Ergebnisse zum Schutz sensibler Daten im Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.
Damit die Ergebnisse Ihrer Datenprofile an Security Command Center gesendet werden, muss die Option In Security Command Center veröffentlichen aktiviert sein.
Weitere Informationen finden Sie unter Datenprofile im Security Command Center veröffentlichen.
Datenprofilkopien in BigQuery speichern
Wenn Sie Datenprofilkopien in BigQuery speichern aktivieren, können Sie eine gespeicherte Kopie oder einen Verlauf aller generierten Profile aufbewahren. Das kann nützlich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.
Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht sehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Wenn Sie diese Option deaktivieren, können Sie sich die Datenprofile weiterhin in der Google Cloud Console ansehen. In der Google Cloud Console wählen Sie jedoch jeweils nur eine Region aus und sehen nur die Datenprofile für diese Region.
So exportieren Sie Kopien der Datenprofile in eine BigQuery-Tabelle:
Aktivieren Sie Datenprofilkopien in BigQuery speichern.
Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Datenprofile speichern möchten:
Geben Sie unter Projekt-ID die ID eines vorhandenen Projekts ein, in das die Datenprofile exportiert werden sollen.
Geben Sie unter Dataset-ID den Namen eines vorhandenen Datasets im Projekt ein, in das die Datenprofile exportiert werden sollen.
Geben Sie unter Table ID (Tabellen-ID) einen Namen für die BigQuery-Tabelle ein, in die die Datenprofile exportiert werden. Wenn Sie diese Tabelle noch nicht erstellt haben, wird sie vom Schutz sensibler Daten automatisch mit dem von Ihnen angegebenen Namen erstellt.
Sobald Sie diese Option aktivieren, beginnt Sensitive Data Protection mit dem Exportieren von Profilen. Profile, die generiert wurden, bevor Sie den Export aktiviert haben, werden nicht in BigQuery gespeichert.
Tags an Ressourcen anhängen
Wenn Sie Tags an Ressourcen anhängen aktivieren, werden Ihre Daten mit Sensitive Data Protection automatisch gemäß der berechneten Vertraulichkeitsstufe getaggt. Für diesen Abschnitt müssen Sie zuerst die Aufgaben unter IAM-Zugriff auf Ressourcen basierend auf der Datensensibilität steuern erledigen.
So taggen Sie eine Ressource automatisch entsprechend dem berechneten Sensibilitätsgrad:
- Aktivieren Sie die Option Ressourcen taggen.
Geben Sie für jede Empfindlichkeitsstufe (hoch, mittel, niedrig und unbekannt) den Pfad des Tag-Werts ein, den Sie für die jeweilige Empfindlichkeitsstufe erstellt haben.
Wenn Sie eine Vertraulichkeitsstufe überspringen, wird ihr kein Tag zugewiesen.
Wenn das Datenrisiko einer Ressource automatisch gesenkt werden soll, wenn das Tag für die Empfindlichkeitsstufe vorhanden ist, wählen Sie Beim Anwenden eines Tags auf eine Ressource das Datenrisiko ihres Profils auf NIEDRIG setzen aus. Mit dieser Option können Sie die Verbesserung Ihrer Datensicherheit und Ihres Datenschutzes messen.
Klicke auf den Schalter neben einer oder beiden der folgenden Optionen, um sie zu deaktivieren:
- Ressource taggen, wenn zum ersten Mal ein Profil für sie erstellt wird.
Ressource taggen, wenn ihr Profil aktualisiert wird. Wählen Sie diese Option aus, wenn der Tag-Wert für die Sensibilitätsstufe bei nachfolgenden Erkennungsläufen durch den Sensitive Data Protection-Filter überschrieben werden soll. Daher ändert sich der Zugriff eines Prinzipals auf eine Ressource automatisch, wenn der berechnete Datensensiblegrad für diese Ressource steigt oder sinkt.
Wählen Sie diese Option nicht aus, wenn Sie die Tag-Werte auf Vertraulichkeitsebene, die der Discovery-Dienst Ihren Ressourcen zugewiesen hat, manuell aktualisieren möchten. Wenn Sie diese Option auswählen, können Ihre manuellen Aktualisierungen durch den Schutz sensibler Daten überschrieben werden.
In Pub/Sub veröffentlichen
Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen auf der Grundlage von Profilierungsergebnissen ausführen. Mit Pub/Sub-Benachrichtigungen können Sie einen Workflow entwickeln, um Ergebnisse mit erheblichen Datenrisiken oder sensiblen Daten zu erkennen und zu beheben.
So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:
Aktivieren Sie In Pub/Sub veröffentlichen.
Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, bei dem der Schutz sensibler Daten eine Benachrichtigung an Pub/Sub sendet.
Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.
Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet der Dienst „Sensible Daten schützen“ eine Benachrichtigung, wenn sich die Empfindlichkeitsstufe, die Datenrisikostufe, die erkannten infoTypes, der öffentliche Zugriff und andere wichtige Messwerte im Profil ändern.
Gehen Sie für jedes ausgewählte Ereignis so vor:
Geben Sie den Namen des Themas ein. Der Name muss folgendes Format haben:
projects/PROJECT_ID/topics/TOPIC_ID
Ersetzen Sie Folgendes:
- PROJECT_ID: die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
- TOPIC_ID: die ID des Pub/Sub-Themas.
Geben Sie an, ob das vollständige Tabellenprofil oder nur der vollständige Ressourcenname der Tabelle, für die das Profil erstellt wurde, in der Benachrichtigung enthalten sein soll.
Legen Sie die Mindestwerte für Datenrisiko und Vertraulichkeit fest, die erfüllt sein müssen, damit Sensitive Data Protection eine Benachrichtigung sendet.
Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiken und Datensensibilität erfüllt sein müssen. Wenn Sie beispielsweise
AND
auswählen, müssen sowohl die Bedingungen für das Datenrisiko als auch die Bedingungen für die Datensensibilität erfüllt sein, bevor Sensitive Data Protection eine Benachrichtigung sendet.
Als Tags an Dataplex senden
Mit dieser Aktion können Sie in Dataplex Tags basierend auf Statistiken aus Datenprofilen erstellen. Diese Aktion wird nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Dataplex gesendet.
Dataplex ist ein Google Cloud-Dienst, mit dem verteilte Daten zusammengeführt und die Datenverwaltung und Governance für diese Daten automatisiert werden. Wenn Sie diese Aktion aktivieren, werden Tabellen, die Sie profilieren, automatisch in Dataplex anhand der aus den Datenprofilen gewonnenen Statistiken getaggt. Anschließend können Sie in Ihrer Organisation und in Ihren Projekten nach Tabellen mit bestimmten Tag-Werten suchen.
Damit die Datenprofile an Dataplex gesendet werden können, muss die Option Als Tags an Dataplex senden aktiviert sein.
Weitere Informationen finden Sie unter Tabellen in Dataplex anhand von Informationen aus Datenprofilen taggen.
Speicherort für Konfiguration festlegen
Klicken Sie auf die Liste Ressourcenspeicherort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.
Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Ihre Daten werden in derselben Region gescannt, in der sie gespeichert sind. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.
Überprüfen und erstellen
- Wenn Sie verhindern möchten, dass das Profiling automatisch nach dem Erstellen der Scankonfiguration gestartet wird, wählen Sie Scan im pausierten Modus erstellen aus.
Diese Option ist in den folgenden Fällen nützlich:
- Sie haben sich entschieden, Datenprofile in BigQuery zu speichern, und möchten dafür sorgen, dass der Kundenservicemitarbeiter Schreibzugriff auf Ihre Ausgabetabelle hat.
- Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Kundenservicemitarbeiter Veröffentlichungszugriff gewähren.
- Sie haben die Aktion Tags an Ressourcen anhängen aktiviert und müssen dem Kundenservicemitarbeiter Zugriff auf das Tag für die Sensibilitätsstufe gewähren.
- Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.
Sensitive Data Protection erstellt die Scankonfiguration und fügt sie der Liste der Konfigurationen für die Erkennung hinzu.
Informationen zum Aufrufen oder Verwalten Ihrer Scankonfigurationen finden Sie unter Scankonfigurationen verwalten.
Wenn Ihr Kundenservicemitarbeiter die Rollen hat, die für den Zugriff und die Profilerstellung für Ihre Daten erforderlich sind, beginnt Sensitive Data Protection mit dem Scannen Ihrer Daten kurz nach dem Erstellen der Scankonfiguration oder nachdem Sie eine pausierte Konfiguration fortgesetzt haben. Andernfalls zeigt der Schutz sensibler Daten einen Fehler an, wenn Sie die Details zur Scankonfiguration aufrufen.