Knowledge Catalog-Aspekte basierend auf Statistiken aus Datenprofilen hinzufügen

Auf dieser Seite wird beschrieben, wie Sie Ihren Daten automatisch Knowledge Catalog-Aspekte hinzufügen, nachdem Sensitive Data Protection Ihre Ressourcen profiliert hat. Auf dieser Seite finden Sie auch Beispielabfragen, mit denen Sie Daten in Ihrer Organisation und in Ihren Projekten mit bestimmten Aspektwerten finden können.

Diese Funktion ist nützlich, wenn Sie Ihre Metadaten in Knowledge Catalog mit Informationen aus Datenprofilen zum Schutz sensibler Daten anreichern möchten. Die generierten Aspekte enthalten die folgenden Statistiken:

• Berechnete Vertraulichkeitsstufe der Tabelle oder des Datasets
• Berechnete Datenrisikostufe der Tabelle oder des Datasets
• Informationstypen (infoTypes), die in der Tabelle oder im Dataset erkannt wurden

Mithilfe von Statistiken aus Datenprofilen für den Schutz sensibler Daten können Sie mit Knowledge Catalog sensible und risikoreiche Daten in Ihrer Organisation ermitteln. Mithilfe dieser Statistiken können Sie fundierte Entscheidungen darüber treffen, wie Sie Ihre Daten verwalten und steuern.

Datenprofile

Sie können den Schutz sensibler Daten so konfigurieren, dass automatisch Profile für Daten in einer Organisation, einem Ordner oder einem Projekt generiert werden. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen.

Sie können Datenprofile an andere Google Cloud Dienste wie Knowledge Catalog, Pub/Sub, Security Command Center und Google Security Operations senden, um Ihre Workflows für Datenverwaltung, Benachrichtigungen und Sicherheit zu optimieren.

Knowledge Catalog

Knowledge Catalog bietet ein einheitliches Inventar von Google Cloud Ressourcen.

Mit dem Wissenskatalog können Sie Aspekte verwenden, um Ihren Daten geschäftliche und technische Metadaten hinzuzufügen und so Kontext und Wissen zu Ihren Ressourcen zu erfassen. Anschließend können Sie Daten in Ihrer Organisation suchen und ermitteln und die Datenverwaltung für Ihre Daten-Assets aktivieren. Weitere Informationen finden Sie unter Aspekte.

Unterstützte Ressourcen

Mit Sensitive Data Protection können Aspekte automatisch an Knowledge Catalog-Einträge für die folgenden Ressourcen angehängt werden:

• BigQuery-Tabellen

• Cloud SQL-Tabellen

• Aus BigQuery-Tabellen erstellte Vertex AI-Datasets

Im Knowledge Catalog werden keine Cloud Storage-Buckets aufgenommen. Diese Funktion ist daher nicht verfügbar, wenn Sie Cloud Storage-Daten profilieren.

Funktionsweise

Der allgemeine Workflow zum automatischen Erstellen von Knowledge Catalog-Aspekten auf Grundlage von Datenprofilen sieht so aus:

1. Erstellen oder bearbeiten Sie eine Scankonfiguration für einen unterstützten Ressourcentyp.

2. Achten Sie im Schritt Aktionen hinzufügen darauf, dass die Aktion Als Aspekte an Dataplex Catalog senden aktiviert ist.

   Wenn Sie eine Scan-Konfiguration erstellen, ist diese Aktion standardmäßig aktiviert.

   Wenn Sie eine Scankonfiguration bearbeiten, aktivieren Sie diese Aktion.

Mit Sensitive Data Protection wird der Aspekt Sensitive Data Protection profile des Knowledge Catalog-Eintrags für jede unterstützte Ressource, die Sie profilieren, hinzugefügt oder aktualisiert. Anschließend können Sie im Knowledge Catalog nach allen Daten in Ihrer Organisation oder Ihrem Projekt mit bestimmten Aspektwerten suchen.

Wenn Sie die Aktion Als Aspekte an Dataplex Catalog senden aktivieren, wendet Sensitive Data Protection diese Aktion nur auf neue und aktualisierte Profile an. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an den Knowledge Catalog gesendet.

Felder der obersten Ebene

Der resultierende Aspekt für eine profilierte Tabelle kann die folgenden Felder der obersten Ebene haben:

Wenn für die Ressource sowohl auf Projekt- als auch auf Organisations- oder Ordnerebene ein Profil erstellt wurde, werden die Werte beider Profile von Sensitive Data Protection zusammengefasst. Der Aspekt enthält eine Kombination der erkannten infoTypes und verwendet die höchsten Vertraulichkeits- und Datenrisikobewertungen aus beiden Profilen.

Angenommen, im Profil auf Projektebene wird die Vertraulichkeit der Ressource als MODERATE und im Profil auf Organisationsebene als LOW eingestuft. In diesem Fall ist der Wert im Sensitivity-Feld der obersten Ebene des Aspekts MODERATE.

Felder für Projekt- und Organisationsprofile

Der resultierende Aspekt Sensitive Data Protection profile enthält je nach Profilierungsebene der Ressource eines oder beide der folgenden Felder der obersten Ebene:

Project Profile

Im Aspekt enthalten, wenn die Ressource über eine Scankonfiguration auf Projektebene profiliert wurde

Organization Profile

Im Aspekt enthalten, wenn für die Ressource ein Profil über eine Scankonfiguration auf Organisations- oder Ordnerebene erstellt wurde

Wenn die Ressource sowohl auf Projekt- als auch auf Organisations- oder Ordnerebene profiliert wurde, enthält der resultierende Aspekt sowohl die Felder Project Profile als auch Organization Profile.

Jedes Project Profile- oder Organization Profile-Feld enthält verschachtelte Sensitivity- und Risk-Felder mit den im Datenprofil aufgeführten Werten. Wenn das Datenprofil vorhergesagte infoTypes und andere infoTypes enthält, sind diese auch als verschachtelte Felder Column InfoTypes und InfoTypes verfügbar. Außerdem enthält jedes Feld Project Profile oder Organization Profile die folgenden verschachtelten Felder:

Profile

Der vollständige Ressourcenname des Datenprofils. Beispiele:

• Profil auf Projektebene: projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• Profil auf Organisations- oder Ordnerebene: organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Profile Link

Einen Link zum Profil in der Google Cloud Console. Beispiele:

• Profil auf Projektebene: https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• Profil auf Organisations- oder Ordnerebene: https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Dataplex API aktivieren

Die Dataplex API muss in jedem Projekt aktiviert sein, das Daten enthält, für die Sie Aspekte hinzufügen möchten. In diesem Abschnitt wird beschrieben, wie Sie die Dataplex API in einem einzelnen Projekt oder in allen Projekten einer Organisation oder eines Ordners aktivieren.

Dataplex API in einem einzelnen Projekt aktivieren

1. Wählen Sie das Projekt aus, in dem Sie die Dataplex API aktivieren möchten.

   Zur Projektauswahl

2. Dataplex API aktivieren

   Rollen, die zum Aktivieren von APIs erforderlich sind

   Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

   API aktivieren

Dataplex API in allen Projekten einer Organisation oder eines Ordners aktivieren

In diesem Abschnitt finden Sie ein Script, mit dem alle Projekte in einer Organisation oder einem Ordner gesucht und die Dataplex API in jedem dieser Projekte aktiviert wird.

Um die Berechtigungen zu erhalten, die Sie zum Aktivieren der Dataplex API in allen Projekten in einer Organisation oder einem Ordner benötigen, bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen:

• Cloud Asset Viewer (roles/cloudasset.viewer) für die Organisation oder den Ordner
• DLP-Nutzer (roles/dlp.user) für jedes Projekt, in dem Sie die Dataplex API aktivieren möchten

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aktivieren der Dataplex API in allen Projekten in einer Organisation oder einem Ordner erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

So aktivieren Sie die Dataplex API in allen Projekten in einer Organisation oder einem Ordner:

1. Aktivieren Sie Cloud Shell in der Google Cloud Console.

   Cloud Shell aktivieren

   Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

2. Führen Sie das folgende Skript aus:

   #!/bin/bash
   
   RESOURCE_ID="RESOURCE_ID"
   
   gcloud asset search-all-resources \
       --scope="RESOURCE_TYPE/$RESOURCE_ID" \
       --asset-types="cloudresourcemanager.googleapis.com/Project" \
       --format="value(name)" |
       while read project_name; do
         project_id=$(echo "$project_name" | sed 's|.*/||')
         gcloud services enable "dataplex.googleapis.com" --project="$project_id"
       done
   

   Ersetzen Sie Folgendes:

   • RESOURCE_ID: die Organisationsnummer oder Ordnernummer der Ressource, die die Projekte enthält
   • RESOURCE_TYPE: Der Typ der Ressource, die die Projekte enthält: organizations oder folders

Rollen und Berechtigungen zum Aufrufen von Aspekten

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Ressourcen zuzuweisen, damit Sie die nötigen Berechtigungen zum Suchen nach Aspekten haben, die mit Ihren Ressourcen verknüpft sind:

• Dataplex Catalog-Betrachter (roles/dataplex.catalogViewer)
• BigQuery Data Viewer (roles/bigquery.dataViewer)
• Vertex AI-Betrachter (roles/aiplatform.viewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Suchen nach Aspekten erforderlich sind, die Ihren Ressourcen zugeordnet sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Weitere Informationen zu den Berechtigungen, die für die Verwendung von Knowledge Catalog erforderlich sind, finden Sie unter IAM-Berechtigungen für Knowledge Catalog.

Generierten Aspekt für ein bestimmtes Tabellendatenprofil finden

1. Rufen Sie in der Google Cloud Console die Seite Knowledge Catalog Search auf.

   Zur Suche

2. Wählen Sie Ihre Organisation oder das Projekt aus.

3. Wählen Sie unter Suchplattform auswählen die Option Dataplex Universal Catalog als Suchmodus aus.

4. Geben Sie im Feld Search Folgendes ein:

   name:TABLE_ID
   

   Ersetzen Sie TABLE_ID durch die ID der Tabelle, für die ein Profil erstellt wurde.

5. Klicken Sie in der angezeigten Liste auf den Tabellennamen. Die Details der BigQuery-Tabelle werden angezeigt. Alle damit verknüpften Sensitive Data Protection profile-Aspekte werden im Bereich Optionale Tags und Aspekte angezeigt.

Weitere Informationen zum Suchen nach Ressourcen finden Sie unter Nach Ressourcen im Knowledge Catalog suchen.

Beispiele für Suchanfragen

In diesem Abschnitt finden Sie Beispielsuchanfragen, mit denen Sie in Knowledge Catalog Daten in Ihrer Organisation oder Ihrem Projekt mit bestimmten Aspektwerten finden können.

Sie können nur auf Daten zugreifen, auf die Sie Zugriff haben. Der Datenzugriff wird über IAM-Berechtigungen gesteuert. Weitere Informationen finden Sie auf dieser Seite unter Rollen und Berechtigungen zum Ansehen von Aspekten.

Sie können diese Beispielanfragen auf der Seite Suchen des Wissenskatalogs in das Feld Suchen eingeben.

Zur Suche

Informationen zum Erstellen der Abfragen finden Sie unter Suchsyntax für Knowledge Catalog.

Alle Ressourcen mit dem Profilaspekt „Schutz sensibler Daten“ finden

aspect:sensitive-data-protection-profile

Alle Ressourcen mit einem bestimmten Sensibilitätswert finden

aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

Ersetzen Sie SENSITIVITY_SCORE durch HIGH, MODERATE, UNKNOWN oder LOW.

Weitere Informationen finden Sie unter Vertraulichkeits- und Datenrisikostufen.

Alle Ressourcen mit einem bestimmten Risikowert suchen

aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

Ersetzen Sie DATA_RISK_LEVEL durch HIGH, MODERATE, UNKNOWN oder LOW.

Weitere Informationen finden Sie unter Vertraulichkeits- und Datenrisikostufen.

Alle Ressourcen mit einem Profil auf Projektebene suchen

aspect:sensitive-data-protection-profile.projectProfile

Alle Ressourcen mit einem Profil auf Organisationsebene finden

aspect:sensitive-data-protection-profile.organizationProfile

Zur Aktion „Als Aspekte an Dataplex Catalog senden“ migrieren

So migrieren Sie eine Discovery-Konfiguration, für die die eingestellte Aktion Als Tags an Dataplex senden festgelegt ist:

1. Bearbeiten Sie die Erkennungskonfiguration, die so konfiguriert ist, dass Erkennungsergebnisse als Tags an Data Catalog gesendet werden.
2. Deaktivieren Sie im Bereich Aktionen die Option Als Tags an Dataplex senden.
3. Aktivieren Sie Als Aspekte an Dataplex Catalog senden.
4. Klicken Sie auf Speichern.