データ プロファイルの分析情報に基づいて Knowledge Catalog のアスペクトを追加する

このページでは、Sensitive Data Protection によってリソースがプロファイリングされた後、Knowledge Catalog のアスペクトをデータに自動的に追加する方法について説明します。また、このページでは、組織やプロジェクト間で特定のアスペクト値を持つデータを検出するために使用できるクエリの例についても説明します。

この機能は、Sensitive Data Protection のデータ プロファイルから収集した分析情報を使用して、Knowledge Catalog のメタデータの質を高める場合に便利です。生成されたアスペクトには、次の分析情報が含まれます。

• テーブルまたはデータセットの計算された機密レベル
• テーブルまたはデータセットの計算されたデータリスク レベル
• テーブルまたはデータセットで検出された情報タイプ（infoTypes）

Sensitive Data Protection のデータ プロファイルからの分析情報は、Knowledge Catalog を使用して組織内の機密データや高リスクのデータを検出するのに役立ちます。これらの分析情報を使用すると、データの管理運営方法について情報に基づいた意思決定を行うことができます。

データ プロファイルについて

Sensitive Data Protection を構成して、組織、フォルダ、プロジェクト全体のデータに関するプロファイルを自動的に生成できます。データ プロファイルには、データに関する指標とメタデータが含まれており、 センシティブ データとリスクの高いデータの場所を特定できます。 Sensitive Data Protection では、これらの指標がさまざまな詳細レベルで報告されます。

データ プロファイルを Knowledge Catalog、Pub/Sub、Security Command Center、Google Security Operations などの他のサービスに送信して、データ ガバナンス、アラート、セキュリティ ワークフローを強化できます。 Google Cloud

Knowledge Catalog について

Knowledge Catalog は、 Google Cloud リソースの統合インベントリを提供します。

Knowledge Catalog では、アスペクトを使用して、ビジネス メタデータとテクニカル メタデータをデータに追加し、リソースのコンテキストと知識を取得できます。組織全体でデータを検索して検出し、データアセットに対するデータ ガバナンスを有効にすることもできます。詳細については、 アスペクトをご覧ください。

サポートされているリソース

Sensitive Data Protection は、次のリソースの Knowledge Catalog エントリにアスペクトを自動的に追加できます。

• BigQuery テーブル

• Cloud SQL テーブル

• BigQuery テーブルから作成された Vertex AI データセット

Knowledge Catalog は Cloud Storage バケットを取り込まないため、Cloud Storage データをプロファイリングする場合、この機能は使用できません。

仕組み

データ プロファイルに基づいて Knowledge Catalog アスペクトを自動的に作成する大まかなワークフローは次のとおりです。

1. サポートされているリソースタイプのスキャン構成を作成または 編集します。

2. [アクションを追加] ステップで、[アスペクトとして Dataplex Catalog に送信する] アクションが有効になっていることを確認します。

   スキャン構成を作成する場合は、このアクションはデフォルトで有効になっています。

   スキャン構成を編集する場合は、このアクションを有効にします。

Sensitive Data Protection は、プロファイリングするサポート対象 リソースごとに、Knowledge Catalog エントリの Sensitive Data Protection profileアスペクトを追加または更新します。その後、Knowledge Catalog で特定のアスペクト値を使用して、組織やプロジェクトのすべてのデータを検索できます。

[アスペクトとして Dataplex Catalog に送信する] アクションを有効にすると、Sensitive Data Protection はこのアクションを新規および更新されたプロファイルにのみ適用します。更新されていない既存のプロファイルは Knowledge Catalog に送信されません。

最上位のフィールド

プロファイリングされたテーブルの結果のアスペクトには、次の最上位フィールドがあります。

リソースがプロジェクト レベルと組織レベルまたはフォルダレベルの両方でプロファイリングされた場合、Sensitive Data Protection は両方のプロファイルの値を集計します。アスペクトは、検出された infoType の和集合を提供し、両方のプロファイルから最も高い機密性とデータリスクの評価を使用します。

たとえば、プロジェクト レベルのプロファイルでリソースの機密性が MODERATE と評価され、組織レベルのプロファイルで機密性が LOW と評価されたとします。この場合、アスペクトの最上位の Sensitivity フィールドの値は MODERATE になります。

プロジェクト プロファイルと組織プロファイルのフィールド

結果の Sensitive Data Protection profile アスペクトには、リソースがプロファイリングされたレベルに応じて、次の最上位フィールドのいずれかまたは両方が含まれます。

Project Profile

リソースがプロジェクト レベルのスキャン構成でプロファイリングされた場合、アスペクトに含まれます。

Organization Profile

リソースが組織レベルまたはフォルダレベルのスキャン構成でプロファイリングされた場合、アスペクトに含まれます。

リソースがプロジェクト レベルと組織レベルまたはフォルダレベルの両方でプロファイリングされた場合、結果のアスペクトには Project Profile フィールドと Organization Profile フィールドの両方が含まれます。

各 Project Profile フィールドまたは Organization Profile フィールドには、データ プロファイルにリストされている値を持つネストされた Sensitivity フィールドと Risk フィールドが含まれています。データ プロファイルに予測された infoType とその他の infoType がリストされている場合は、 ネストされた Column InfoTypes と InfoTypes フィールドとしても使用できます。また、各 Project Profile フィールドまたは Organization Profile フィールドには、次のネストされたフィールドが含まれています。

Profile

データ プロファイルの完全なリソース名。例:

• プロジェクト レベルのプロファイル: projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• 組織レベルまたはフォルダレベルのプロファイル: organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Profile Link

コンソールのプロファイルへのリンク。 Google Cloud 例:

• プロジェクト レベルのプロファイル: https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• 組織レベルまたはフォルダレベルのプロファイル: https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Dataplex API を有効にする

アスペクトを追加するデータを含む各プロジェクトで Dataplex API を有効にする必要があります。このセクション では、単一のプロジェクト、または組織やフォルダ内のすべて のプロジェクトで Dataplex API を有効にする方法について説明します。

単一のプロジェクトで Dataplex API を有効にする

1. Dataplex API を有効にするプロジェクトを選択します。

   プロジェクト セレクタに移動

2. Dataplex API を有効にする

   API を有効にするために必要なロール

   API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール（roles/serviceusage.serviceUsageAdmin）が必要です。詳しくは、ロールを付与する方法をご覧ください。

   API の有効化

組織またはフォルダ内のすべてのプロジェクトで Dataplex API を有効にする

このセクションでは、組織またはフォルダ内のすべてのプロジェクトを検索し、それらの各プロジェクトで Dataplex API を有効にするスクリプトについて説明します。

組織またはフォルダ内のすべてのプロジェクトで Dataplex API を有効にするために必要な権限を取得するには、管理者に次の IAM ロールの付与を依頼してください。

• Cloud Asset 閲覧者 （roles/cloudasset.viewer）組織またはフォルダに対する
• Dataplex API を有効にする各プロジェクトに対する DLP ユーザー（roles/dlp.user）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには 組織またはフォルダ内のすべてのプロジェクトで Dataplex API を有効にするために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

組織またはフォルダ内のすべてのプロジェクトで Dataplex API を有効にするには、次の操作を行います。

1. コンソールで Cloud Shell をアクティブにします。 Google Cloud

   Cloud Shell をアクティブにする

   コンソールの下部にある Google Cloud Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です 。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています 。セッションが初期化されるまで数秒かかることがあります。

2. 次のスクリプトを実行します。

   #!/bin/bash
   
   RESOURCE_ID="RESOURCE_ID"
   
   gcloud asset search-all-resources \
       --scope="RESOURCE_TYPE/$RESOURCE_ID" \
       --asset-types="cloudresourcemanager.googleapis.com/Project" \
       --format="value(name)" |
       while read project_name; do
         project_id=$(echo "$project_name" | sed 's|.*/||')
         gcloud services enable "dataplex.googleapis.com" --project="$project_id"
       done
   

   次のように置き換えます。

   • RESOURCE_ID: プロジェクトを含むリソースの組織番号またはフォルダ番号
   • RESOURCE_TYPE: プロジェクトを含むリソースのタイプ（organizations または folders）

アスペクトを表示するためのロールと権限

リソースに関連付けられたアスペクトを検索するために必要な権限を取得するには、リソースに対する次の IAM ロールの付与を管理者に依頼してください。

• Dataplex Catalog 閲覧者 （roles/dataplex.catalogViewer）
• BigQuery データ閲覧者 (roles/bigquery.dataViewer)
• Vertex AI 閲覧者 （roles/aiplatform.viewer）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには リソースに関連付けられたアスペクトを検索するために必要な権限が含まれています。必要とされる正確な権限については、必要な権限セクションを開いてご確認ください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

Knowledge Catalog の使用に必要な権限の詳細については、 Knowledge Catalog の IAM 権限をご覧ください。

特定のテーブルデータ プロファイル用に生成されたアスペクトを検索する

1. コンソールで、Knowledge Catalog の [Search] ページに移動します。 Google Cloud

   検索に移動

2. 組織またはプロジェクトを選択します。

3. [検索プラットフォームの選択] で、検索 モードとして [Dataplex Universal Catalog] を選択します。

4. [検索] フィールドに、次の内容を入力します。

   name:TABLE_ID
   

   TABLE_ID は、プロファイリングされたテーブルの ID に置き換えます。

5. 表示されたリストで、テーブル名をクリックします。BigQuery テーブルの詳細が表示されます。関連付けられている Sensitive Data Protection profile アスペクトは、[オプションのタグとアスペクト] セクションに表示されます。

リソースを検索する方法の詳細については、 Knowledge Catalog でリソースを検索するをご覧ください。

検索クエリの例

このセクションでは、Knowledge Catalog で特定のアスペクト値で組織やプロジェクトのデータを検索するために使用できる検索クエリの例を示します。

検索できるのは、アクセス権を持つデータだけです。データアクセスは IAM 権限によって制御されます。詳細については、このページのアスペクトを表示するための ロールと権限をご覧ください。

これらのクエリの例は、Knowledge Catalog の [検索] ページの [検索] フィールドに入力できます。

検索に移動

クエリの作成方法については、 Knowledge Catalog の検索構文をご覧ください。

Sensitive Data Protection プロファイル アスペクトを持つすべてのリソースを検索する

aspect:sensitive-data-protection-profile

指定された機密性スコアを持つすべてのリソースを検索する

aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

SENSITIVITY_SCORE は、HIGH、MODERATE、UNKNOWN、LOW に置き換えます。

詳細については、 機密性とデータリスク レベルをご覧ください。

指定されたリスクスコアを持つすべてのリソースを検索する

aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

DATA_RISK_LEVEL は、HIGH、MODERATE、UNKNOWN、LOW に置き換えます。

詳細については、 機密性とデータリスク レベルをご覧ください。

プロジェクト レベルのプロファイルを持つすべてのリソースを検索する

aspect:sensitive-data-protection-profile.projectProfile

組織レベルのプロファイルを持つすべてのリソースを検索する

aspect:sensitive-data-protection-profile.organizationProfile

アスペクトとして Dataplex Catalog に送信するアクションに移行する

非推奨の [タグとして Dataplex に送信する] アクションを使用するように設定されている検出構成を移行する手順は次のとおりです。

1. 検出結果をタグとして Data Catalog に送信するように構成されている検出構成を編集します。
2. [アクション] セクションで、[タグとして Dataplex に送信する] を無効にします。
3. [アスペクトとして Dataplex Catalog に送信する] を有効にします。
4. [保存] をクリックします。