根據資料剖析的洞察資訊新增 Knowledge Catalog 切面

本頁面說明 Sensitive Data Protection 分析資源後，如何自動將 Knowledge Catalog 切面新增至資料。這個頁面也提供範例查詢，可用於尋找貴機構和專案中具有特定層面值的資料。

如果您想使用 Sensitive Data Protection 資料剖析檔收集的深入分析資訊，在 Knowledge Catalog 中豐富中繼資料，這項功能就非常實用。系統會生成下列洞察：

• 資料表或資料集的計算機密程度
• 資料表或資料集的計算資料風險等級
• 系統在資料表或資料集中偵測到的資訊類型 (infoTypes)

您可以根據 Sensitive Data Protection 資料剖析檔的洞察資訊，使用知識型錄探索貴機構中的機密和高風險資料。您可以根據這些深入分析結果，制定明智的資料管理和控管決策。

關於資料剖析檔

您可以設定 Sensitive Data Protection，自動產生機構、資料夾或專案中資料的剖析檔。資料剖析檔包含資料的指標和中繼資料，可協助您判斷機密和高風險資料的存放位置。Sensitive Data Protection 會在不同詳細程度的層級回報這些指標。

您可以將資料剖析檔傳送至其他 Google Cloud 服務，例如 Knowledge Catalog、Pub/Sub、Security Command Center 和 Google Security Operations，以強化資料治理、快訊和安全性工作流程。

關於 Knowledge Catalog

知識目錄：提供資源的統一目錄。 Google Cloud

知識目錄可讓您使用切面，在資料中新增業務和技術中繼資料，擷取資源的脈絡和知識。然後，您就可以在整個機構中搜尋及探索資料，並對資料資產啟用資料治理功能。詳情請參閱「層面」。

支援的資源

Sensitive Data Protection 可自動將各方面資訊附加至下列資源的 Knowledge Catalog 項目：

• BigQuery 資料表

• Cloud SQL 資料表

• 從 BigQuery 資料表建立的 Vertex AI 資料集

知識目錄不會擷取 Cloud Storage bucket，因此在剖析 Cloud Storage 資料時，這項功能無法使用。

運作方式

根據資料剖析檔自動建立知識目錄切面的高階工作流程如下：

1. 為支援的資源類型建立或編輯掃描設定。

2. 在「新增動作」步驟中，確認已啟用「傳送至 Dataplex Catalog 做為切面」動作。

   如果您要建立掃描設定，這項動作預設為啟用。

   如要編輯掃描設定，請啟用這項動作。

Sensitive Data Protection 會為您剖析的每個支援資源，新增或更新知識目錄項目的 Sensitive Data Protection profile 方面。然後，您可以在知識目錄中搜尋機構或專案的所有資料，並指定特定層面值。

啟用「傳送至 Dataplex Catalog 做為切面」動作後，Sensitive Data Protection 只會將這項動作套用至新的和更新的設定檔。如果現有設定檔未更新，系統就不會傳送至知識目錄。

頂層欄位

剖析資料表後產生的層面可能包含下列頂層欄位：

如果資源是在專案層級和機構/資料夾層級進行剖析，Sensitive Data Protection 會彙整這兩個剖析結果的值。這個層面會提供偵測到的 infoType 聯集，並使用兩個剖析檔中最高的機密程度和資料風險評分。

舉例來說，假設專案層級設定檔將資源的機密程度評為 MODERATE，而機構層級設定檔則評為 LOW。在本例中，該層面頂層 Sensitivity 欄位的值為 MODERATE。

專案設定檔和機構設定檔欄位

視資源的剖析層級而定，產生的 Sensitive Data Protection profile 方面會包含下列一或多個頂層欄位：

Project Profile

如果資源是透過專案層級掃描設定進行剖析，則會納入該層面

Organization Profile

如果資源是透過機構層級或資料夾層級的掃描設定進行剖析，則會納入這個面向

如果資源是在專案層級和機構/資料夾層級進行剖析，則產生的層面會同時包含 Project Profile 和 Organization Profile 欄位。

每個 Project Profile 或 Organization Profile 欄位都包含巢狀 Sensitivity 和 Risk 欄位，以及資料設定檔中列出的值。如果資料剖析檔包含預測的 infoType 和其他 infoType，這些也會以巢狀 Column InfoTypes 和 InfoTypes 欄位形式提供。此外，每個 Project Profile 或 Organization Profile 欄位都包含下列巢狀欄位：

Profile

資料剖析檔的完整資源名稱。範例：

• 專案層級設定檔：projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• 機構層級或資料夾層級設定檔：organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Profile Link

Google Cloud 控制台中的設定檔連結。範例：

• 專案層級設定檔：https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• 機構層級或資料夾層級設定檔：https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

啟用 Dataplex API

您必須在每個包含要新增層面資料的專案中啟用 Dataplex API。本節說明如何在單一專案中，或在機構或資料夾中的所有專案中啟用 Dataplex API。

在單一專案中啟用 Dataplex API

1. 選取要啟用 Dataplex API 的專案。

   前往專案選取器

2. 啟用 Dataplex API。

   啟用 API 時所需的角色

   如要啟用 API，您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin)，其中包含 serviceusage.services.enable 權限。瞭解如何授予角色。

   啟用 API

在機構或資料夾的所有專案中啟用 Dataplex API

本節提供指令碼，可搜尋機構或資料夾中的所有專案，並在每個專案中啟用 Dataplex API。

如要在機構或資料夾的所有專案中啟用 Dataplex API，請要求管理員授予您下列 IAM 角色：

• 機構或資料夾的「Cloud Asset 檢視者」 (roles/cloudasset.viewer)
• DLP 使用者 (roles/dlp.user) 在要啟用 Dataplex API 的每個專案中

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

這些預先定義的角色具備在組織或資料夾的所有專案中啟用 Dataplex API 的權限。如要查看確切的必要權限，請展開「Required permissions」(必要權限) 部分：

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

如要在機構或資料夾中的所有專案啟用 Dataplex API，請按照下列步驟操作：

1. 在 Google Cloud 控制台中啟用 Cloud Shell。

   啟用 Cloud Shell

   Google Cloud 主控台底部會開啟一個 Cloud Shell 工作階段，並顯示指令列提示。Cloud Shell 是已安裝 Google Cloud CLI 的殼層環境，並已針對您目前的專案設定好相關值。工作階段可能要幾秒鐘的時間才能初始化。

2. 執行下列指令碼：

   #!/bin/bash
   
   RESOURCE_ID="RESOURCE_ID"
   
   gcloud asset search-all-resources \
       --scope="RESOURCE_TYPE/$RESOURCE_ID" \
       --asset-types="cloudresourcemanager.googleapis.com/Project" \
       --format="value(name)" |
       while read project_name; do
         project_id=$(echo "$project_name" | sed 's|.*/||')
         gcloud services enable "dataplex.googleapis.com" --project="$project_id"
       done
   

   更改下列內容：

   • RESOURCE_ID：包含專案的資源所屬機構或資料夾編號
   • RESOURCE_TYPE：包含專案的資源類型，即 organizations 或 folders

查看層面的角色和權限

如要取得搜尋與資源相關聯的層面所需的權限，請要求管理員授予您資源的下列 IAM 角色：

• Dataplex Catalog 檢視者 (roles/dataplex.catalogViewer)
• BigQuery 資料檢視者 (roles/bigquery.dataViewer)
• Vertex AI 檢視者 (roles/aiplatform.viewer)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

這些預先定義的角色具備搜尋與資源相關聯層面所需的權限。如要查看確切的必要權限，請展開「Required permissions」(必要權限) 部分：

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

如要進一步瞭解使用 Knowledge Catalog 時所需的權限，請參閱「Knowledge Catalog IAM 權限」。

找出特定資料表資料剖析檔產生的層面

1. 前往 Google Cloud 控制台的 Knowledge Catalog「Search」(搜尋) 頁面。

   前往「Search」(搜尋) 頁面

2. 選取您的機構或專案。

3. 在「選擇搜尋平台」部分，選取「Dataplex Universal Catalog」做為搜尋模式。

4. 在「搜尋」欄位中輸入下列內容：

   name:TABLE_ID
   

   將 TABLE_ID 替換為已分析的資料表 ID。

5. 在顯示的清單中，按一下資料表名稱。系統會顯示 BigQuery 資料表的詳細資料。相關聯的任何Sensitive Data Protection profile切面都會顯示在「選用標記和切面」部分。

如要進一步瞭解如何搜尋資源，請參閱「在 Knowledge Catalog 中搜尋資源」。

搜尋查詢範例

本節提供範例搜尋查詢，您可以在 Knowledge Catalog 中使用這些查詢，在貴機構或專案中尋找具有特定層面值的資料。

您只能找到自己有權存取的資料。資料存取權由 IAM 權限控管。詳情請參閱本頁面的「查看層面的角色和權限」。

您可以在知識目錄的「搜尋」頁面，於「搜尋」欄位中輸入這些查詢範例。

前往「Search」(搜尋) 頁面

如要瞭解如何建立查詢，請參閱「Knowledge Catalog 搜尋語法」。

找出具有 Sensitive Data Protection 剖析檔層面的所有資源

aspect:sensitive-data-protection-profile

找出所有具有特定敏感程度分數的資源

aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

將 SENSITIVITY_SCORE 替換為 HIGH、MODERATE、UNKNOWN 或 LOW。

詳情請參閱「機密程度與資料風險等級」。

找出所有具有特定風險分數的資源

aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

將 DATA_RISK_LEVEL 替換為 HIGH、MODERATE、UNKNOWN 或 LOW。

詳情請參閱「機密程度與資料風險等級」。

找出所有具有專案層級設定檔的資源

aspect:sensitive-data-protection-profile.projectProfile

找出具有機構層級設定檔的所有資源

aspect:sensitive-data-protection-profile.organizationProfile

遷移至「傳送至 Dataplex Catalog 做為切面」動作

如要遷移設為使用已淘汰「以標記形式傳送至 Dataplex」動作的探索設定，請按照下列步驟操作：

1. 編輯探索設定，將探索結果以標記形式傳送至 Data Catalog。
2. 在「動作」部分中，停用「以標記的形式傳送至 Dataplex」。
3. 啟用「傳送至 Dataplex Catalog 做為切面」。
4. 按一下「儲存」。