Aggiungere aspetti di Knowledge Catalog in base agli approfondimenti dei profili dei dati

Questa pagina descrive come aggiungere automaticamente gli aspetti di Knowledge Catalog ai dati dopo che Sensitive Data Protection ha profilato le risorse. Questa pagina fornisce anche query di esempio che puoi utilizzare per trovare dati in tutta l'organizzazione e nei progetti con valori di aspetti specifici.

Questa funzionalità è utile se vuoi arricchire i metadati in Knowledge Catalog con gli insight raccolti dai profili di dati di Sensitive Data Protection. Gli aspetti generati includono i seguenti insight:

• Livello di sensibilità calcolato della tabella o del set di dati
• Livello di rischio dei dati calcolato della tabella o del set di dati
• Tipi di informazioni (infoTypes) rilevati nella tabella o nel set di dati

Gli insight dei profili di dati di Sensitive Data Protection possono aiutarti a utilizzare Knowledge Catalog per scoprire i dati sensibili e ad alto rischio nella tua organizzazione. Utilizza questi insight per prendere decisioni informate su come gestire e controllare i dati.

Informazioni sui profili di dati

Puoi configurare Sensitive Data Protection in modo che generi automaticamente profili sui dati di un'organizzazione, una cartella o un progetto. I profili di dati contengono metriche e metadati sui dati e ti aiutano a determinare la posizione dei dati sensibili e ad alto rischio residenti. Sensitive Data Protection riporta queste metriche a vari livelli di dettaglio.

Puoi inviare i profili di dati ad altri Google Cloud servizi come Knowledge Catalog, Pub/Sub, Security Command Center e Google Security Operations per arricchire i workflow di governance dei dati, avvisi e sicurezza.

Informazioni su Knowledge Catalog

Knowledge Catalog fornisce un inventario unificato di Google Cloud risorse.

Knowledge Catalog ti consente di utilizzare gli aspetti per aggiungere metadati aziendali e tecnici ai dati per acquisire il contesto e la conoscenza delle risorse. Puoi quindi cercare e scoprire i dati nella tua organizzazione e abilitare la governance dei dati sugli asset di dati. Per ulteriori informazioni, vedi Aspetti.

Risorse supportate

Sensitive Data Protection può collegare automaticamente gli aspetti alle voci di Knowledge Catalog per le seguenti risorse:

• Tabelle BigQuery

• Tabelle Cloud SQL

• Set di dati della piattaforma dell'agente creati dalle tabelle BigQuery

Knowledge Catalog non importa i bucket Cloud Storage, pertanto questa funzionalità non è disponibile quando profili i dati di Cloud Storage.

Come funziona

Il workflow di alto livello per la creazione automatica degli aspetti di Knowledge Catalog basati sui profili di dati è il seguente:

1. Crea o modifica una configurazione di scansione per un tipo di risorsa supportato.

2. Nel passaggio Aggiungi azioni, assicurati che l'azione Invia a Dataplex Catalog come aspetti sia abilitata.

   Se stai creando una configurazione di scansione, questa azione è abilitata per impostazione predefinita.

   Se stai modificando una configurazione di scansione, abilita questa azione.

Sensitive Data Protection aggiunge o aggiorna l' Sensitive Data Protection profile aspetto della voce Knowledge Catalog per ogni risorsa supportata che profili. Puoi quindi cercare in Knowledge Catalog tutti i dati della tua organizzazione o del tuo progetto con valori di aspetti specifici.

Quando abiliti l'azione Invia a Dataplex Catalog come aspetti , Sensitive Data Protection la applica solo ai profili nuovi e aggiornati. I profili esistenti che non vengono aggiornati non vengono inviati a Knowledge Catalog.

Campi di primo livello

L'aspetto risultante per una tabella profilata può avere i seguenti campi di primo livello:

Se la risorsa è stata profilata sia a livello di progetto sia a livello di organizzazione o cartella, Sensitive Data Protection aggrega i valori di entrambi i profili. L'aspetto fornisce un'unione degli infoType rilevati e utilizza le valutazioni di sensibilità e rischio dei dati più elevate di entrambi i profili.

Ad esempio, supponiamo che il profilo a livello di progetto valuti la sensibilità della risorsa come MODERATE e il profilo a livello di organizzazione valuti la sensibilità come LOW. In questo caso, il valore nel campo Sensitivity di primo livello dell'aspetto è MODERATE.

Campi Profilo progetto e Profilo organizzazione

L'aspetto Sensitive Data Protection profile risultante include uno o entrambi i seguenti campi di primo livello, a seconda del livello a cui è stata profilata la risorsa:

Project Profile

Incluso nell'aspetto se la risorsa è stata profilata tramite una configurazione di scansione a livello di progetto

Organization Profile

Incluso nell'aspetto se la risorsa è stata profilata tramite una configurazione di scansione a livello di organizzazione o cartella

Se la risorsa è stata profilata sia a livello di progetto sia a livello di organizzazione o cartella, l'aspetto risultante ha sia i campi Project Profile sia Organization Profile.

Ogni campo Project Profile o Organization Profile contiene i campi nidificati Sensitivity e Risk con i valori elencati nel profilo dati. Se il profilo dati contiene gli infoType previsti e altri infoType elencati, questi sono disponibili anche come campi nidificati Column InfoTypes e InfoTypes. Inoltre, ogni campo Project Profile o Organization Profile contiene i seguenti campi nidificati:

Profile

Il nome completo della risorsa del profilo di dati. Esempi:

• Profilo a livello di progetto: projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• Profilo a livello di organizzazione o cartella: organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Profile Link

Un link al profilo nella Google Cloud console. Esempi:

• Profilo a livello di progetto: https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• Profilo a livello di organizzazione o cartella: https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Abilitare l'API Dataplex

L'API Dataplex deve essere abilitata in ogni progetto che contiene i dati per cui vuoi aggiungere gli aspetti. Questa sezione descrive come abilitare l'API Dataplex in un singolo progetto o in tutti i progetti di un'organizzazione o di una cartella.

Abilitare l'API Dataplex in un singolo progetto

1. Seleziona il progetto in cui vuoi abilitare l'API Dataplex.

   Vai al selettore di progetti

2. Abilita l'API Dataplex.

   Ruoli richiesti per abilitare le API

   Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

   Abilitare l'API

Abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella

Questa sezione fornisce uno script che cerca tutti i progetti di un'organizzazione o di una cartella e abilita l'API Dataplex in ciascuno di questi progetti.

Per ottenere le autorizzazioni necessarie per abilitare l'API Dataplex in tutti i progetti di un' organizzazione o di una cartella, chiedi all'amministratore di concederti i seguenti ruoli IAM:

• Visualizzatore asset Cloud (roles/cloudasset.viewer) sull'organizzazione o sulla cartella
• Utente DLP (roles/dlp.user) in ogni progetto in cui vuoi abilitare l'API Dataplex

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per abilitare l'API Dataplex in tutti i progetti di un' organizzazione o di una cartella. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella, segui questi passaggi:

1. Nella Google Cloud console, attiva Cloud Shell.

   Attiva Cloud Shell

   Nella parte inferiore della Google Cloud console viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già inclusa e installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.

2. Esegui questo script:

   #!/bin/bash
   
   RESOURCE_ID="RESOURCE_ID"
   
   gcloud asset search-all-resources \
       --scope="RESOURCE_TYPE/$RESOURCE_ID" \
       --asset-types="cloudresourcemanager.googleapis.com/Project" \
       --format="value(name)" |
       while read project_name; do
         project_id=$(echo "$project_name" | sed 's|.*/||')
         gcloud services enable "dataplex.googleapis.com" --project="$project_id"
       done
   

   Sostituisci quanto segue:

   • RESOURCE_ID: il numero dell'organizzazione o della cartella della risorsa che contiene i progetti
   • RESOURCE_TYPE: il tipo di risorsa che contiene i progetti: organizations o folders

Ruoli e autorizzazioni per la visualizzazione degli aspetti

Per ottenere le autorizzazioni necessarie per cercare gli aspetti associati alle tue risorse, chiedi all'amministratore di concederti i seguenti ruoli IAM sulle risorse:

• Visualizzatore Dataplex Catalog (roles/dataplex.catalogViewer)
• Visualizzatore dati BigQuery (roles/bigquery.dataViewer)
• Visualizzatore Vertex AI (roles/aiplatform.viewer)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per cercare gli aspetti associati alle tue risorse. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni sulle autorizzazioni necessarie per utilizzare Knowledge Catalog, consulta Autorizzazioni IAM di Knowledge Catalog.

Trovare l'aspetto generato per un determinato profilo dati della tabella

1. Nella Google Cloud console, vai alla pagina Cerca di Knowledge Catalog.

   Vai a Cerca

2. Seleziona l'organizzazione o il progetto.

3. Per Scegli la piattaforma di ricerca, seleziona Dataplex Universal Catalog come modalità di ricerca.

4. Nel campo Cerca, inserisci quanto segue:

   name:TABLE_ID
   

   Sostituisci TABLE_ID con l'ID della tabella profilata.

5. Nell'elenco visualizzato, fai clic sul nome della tabella. Vengono visualizzati i dettagli della tabella BigQuery. Gli aspetti Sensitive Data Protection profile associati vengono visualizzati nella sezione Tag e aspetti facoltativi.

Per ulteriori informazioni su come cercare le risorse, consulta Cercare le risorse in Knowledge Catalog.

Esempi di query di ricerca

Questa sezione fornisce esempi di query di ricerca che puoi utilizzare in Knowledge Catalog per trovare dati nella tua organizzazione o nel tuo progetto con valori di aspetti specifici.

Puoi trovare solo i dati a cui hai accesso. L'accesso ai dati è controllato tramite le autorizzazioni IAM. Per ulteriori informazioni, consulta Ruoli e autorizzazioni per la visualizzazione degli aspetti in questa pagina.

Puoi inserire queste query di esempio nel campo Cerca nella pagina Cerca di Knowledge Catalog.

Vai a Cerca

Per informazioni su come formare le query, consulta Sintassi di ricerca per Knowledge Catalog.

Trovare tutte le risorse che hanno l'aspetto del profilo di Sensitive Data Protection

aspect:sensitive-data-protection-profile

Trovare tutte le risorse con un determinato punteggio di sensibilità

aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

Sostituisci SENSITIVITY_SCORE con HIGH, MODERATE, UNKNOWN o LOW.

Per ulteriori informazioni, consulta Livelli di rischio dei dati e sensibilità.

Trovare tutte le risorse con un determinato punteggio di rischio

aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

Sostituisci DATA_RISK_LEVEL con HIGH, MODERATE, UNKNOWN o LOW.

Per ulteriori informazioni, consulta Livelli di rischio dei dati e sensibilità.

Trovare tutte le risorse che hanno un profilo a livello di progetto

aspect:sensitive-data-protection-profile.projectProfile

Trovare tutte le risorse che hanno un profilo a livello di organizzazione

aspect:sensitive-data-protection-profile.organizationProfile

Eseguire la migrazione all'azione Invia a Dataplex Catalog come aspetti

Per eseguire la migrazione di una configurazione di rilevamento impostata per utilizzare l'azione Invia a Dataplex come tag deprecata, segui questi passaggi:

1. Modifica la configurazione di rilevamento configurata per inviare i risultati del rilevamento a Data Catalog come tag.
2. Nella sezione Azioni, disabilita Invia a Dataplex come tag.
3. Abilita Invia a Dataplex Catalog come aspetti.
4. Fai clic su Salva.