根据数据剖析的分析洞见添加知识目录方面

本页面介绍了在 Sensitive Data Protection 分析资源后，如何自动将 Knowledge Catalog 切面添加到数据。本页面还提供了示例查询，您可以使用这些查询在组织和项目中查找具有特定切面值的数据。

如果您想使用从 Sensitive Data Protection 数据剖析文件中收集的洞见来丰富 Knowledge Catalog 中的元数据，此功能会非常有用。生成的切面包含以下洞见：

• 表格或数据集的计算得出的敏感度级别
• 表格或数据集的计算得出的数据风险级别
• 在表格或数据集中检测到的信息类型 (infoTypes)

Sensitive Data Protection 数据剖析文件中的洞见可帮助您使用 Knowledge Catalog 发现组织中的敏感数据和高风险数据。使用这些洞见可帮助您就如何管理和治理数据做出明智的决策。

数据剖析文件简介

您可以将 Sensitive Data Protection 配置为自动生成有关组织、文件夹或项目中的数据的剖析文件。数据 剖析文件包含有关 数据的指标和元数据，可帮助您确定敏感数据和高风险数据所在的位置。Sensitive Data Protection 会在各种细节级别报告这些指标。

您可以将数据剖析文件发送到其他 Google Cloud 服务（例如 Knowledge Catalog、 Pub/Sub、 Security Command Center和 Google Security Operations ），以丰富数据治理、提醒和安全工作流。

Knowledge Catalog 简介

Knowledge Catalog 提供资源的统一清单。 Google Cloud

借助 Knowledge Catalog，您可以使用切面 将业务和技术元数据添加到数据，以捕获有关资源的上下文和知识。然后，您可以在组织中搜索和发现数据，并对数据资产启用数据治理。如需了解详情，请参阅 切面。

支持的资源

Sensitive Data Protection 可以自动将切面附加到以下资源的 Knowledge Catalog 条目：

• BigQuery 表

• Cloud SQL 表

• 通过 BigQuery 表创建的 Vertex AI 数据集

Knowledge Catalog 不会注入 Cloud Storage 存储分区，因此在分析 Cloud Storage 数据时，此功能不可用。

工作原理

根据数据剖析文件自动创建 Knowledge Catalog 切面的高级别工作流如下所示：

1. 创建或 修改支持的资源类型的扫描 配置。

2. 在添加操作 步骤中，确保已启用以切面形式发送到 Dataplex Catalog 操作。

   如果您要创建扫描配置，则默认启用此操作。

   如果您要修改扫描配置，请启用此操作。

Sensitive Data Protection 会为分析的每个受支持 资源添加或更新 Knowledge Catalog 条目的 Sensitive Data Protection profile切面。然后，您可以在 Knowledge Catalog 中搜索组织或项目中具有特定切面值的所有数据。

启用以切面形式发送到 Dataplex Catalog 操作后，Sensitive Data Protection 仅将此操作应用于新的和更新后的剖析文件。未更新的现有剖析文件不会发送到 Knowledge Catalog。

顶级字段

分析的表格的生成切面可以具有以下顶级字段：

如果资源是在项目级和组织级或文件夹级进行分析，则 Sensitive Data Protection 会汇总这两个剖析文件的值。切面会提供检测到的 infoType 的并集，并使用这两个剖析文件中最高的敏感度和数据风险评级。

例如，假设项目级剖析文件将资源的敏感度评为 MODERATE，而组织级剖析文件将敏感度评为 LOW。在这种情况下，切面的顶级 Sensitivity 字段中的值为 MODERATE。

项目剖析文件和组织剖析文件字段

生成的 Sensitive Data Protection profile 切面包含以下一个或两个顶级字段，具体取决于资源分析的级别：

Project Profile

如果资源是通过项目级扫描配置进行分析，则会包含在切面中

Organization Profile

如果资源是通过组织级或文件夹级扫描配置进行分析，则会包含在切面中

如果资源是在项目级和组织级或文件夹级进行分析，则生成的切面同时具有 Project Profile 和 Organization Profile 字段。

每个 Project Profile 或 Organization Profile 字段都包含嵌套的 Sensitivity 和 Risk 字段，其中包含数据剖析文件中列出的值。如果数据分析列出了预测的 infoType 和其他 infoType， 则这些 infoType 也会作为嵌套的 Column InfoTypes 和 InfoTypes 字段提供。此外，每个 Project Profile 或 Organization Profile 字段都包含以下嵌套字段：

Profile

数据分析的完整资源名称。示例：

• 项目级剖析文件：projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• 组织级或文件夹级剖析文件：organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Profile Link

控制台中剖析文件的链接。 Google Cloud 示例：

• 项目级剖析文件：https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
• 组织级或文件夹级剖析文件：https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

启用 Dataplex API

您必须在每个包含要添加切面的数据的项目中启用 Dataplex API。本部分 介绍了如何在单个项目或组织或文件夹中的 所有 项目中启用 Dataplex API。

在单个项目中启用 Dataplex API

1. 选择要在其中启用 Dataplex API 的项目。

   前往“项目选择器”

2. 启用 Dataplex API。

   启用 API 所需的角色

   如需启用 API，您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin)，该角色包含 serviceusage.services.enable 权限。了解如何授予角色。

   启用 API

在组织或文件夹中的所有项目中启用 Dataplex API

本部分提供了一个脚本，该脚本会搜索组织或文件夹中的所有项目，并在每个项目中启用 Dataplex API。

如需获得在组织或文件夹中的所有项目中启用 Dataplex API 所需的权限，请让管理员向您授予以下 IAM 角色：

• 针对组织或文件夹的 Cloud Asset Viewer (roles/cloudasset.viewer)
• 针对要启用 Dataplex API 的每个项目的 DLP User (roles/dlp.user)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

这些预定义角色包含 在组织或文件夹中的所有项目中启用 Dataplex API 所需的权限。如需查看所需的确切权限，请展开所需权限部分：

您也可以使用自定义角色或其他预定义角色来获取这些权限。

如需在组织或文件夹中的所有项目中启用 Dataplex API，请按以下步骤操作：

1. 在 Google Cloud 控制台中，激活 Cloud Shell。

   激活 Cloud Shell

   Cloud Shell 会话随即会在控制台的底部启动，并显示命令行提示符。 Google Cloud Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境 。该会话可能需要几秒钟时间来完成初始化。

2. 运行以下脚本：

   #!/bin/bash
   
   RESOURCE_ID="RESOURCE_ID"
   
   gcloud asset search-all-resources \
       --scope="RESOURCE_TYPE/$RESOURCE_ID" \
       --asset-types="cloudresourcemanager.googleapis.com/Project" \
       --format="value(name)" |
       while read project_name; do
         project_id=$(echo "$project_name" | sed 's|.*/||')
         gcloud services enable "dataplex.googleapis.com" --project="$project_id"
       done
   

   替换以下内容：

   • RESOURCE_ID：包含项目的资源的组织编号或文件夹编号
   • RESOURCE_TYPE：包含项目的资源的类型，即 organizations 或 folders

查看切面的角色和权限

如需获得搜索与资源关联的切面所需的权限，请让管理员向您授予资源的以下 IAM 角色：

• Dataplex Catalog Viewer (roles/dataplex.catalogViewer)
• BigQuery Data Viewer (roles/bigquery.dataViewer)
• Vertex AI Viewer (roles/aiplatform.viewer)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

这些预定义角色包含 搜索与资源关联的切面所需的权限。如需查看所需的确切权限，请展开所需权限部分：

您也可以使用自定义角色或其他预定义角色来获取这些权限。

如需详细了解使用 Knowledge Catalog 所需的权限，请参阅 Knowledge Catalog IAM 权限。

查找给定表格数据分析的生成切面

1. 在 Google Cloud 控制台中，前往 Knowledge Catalog 搜索 页面。

   转到搜索

2. 选择您的组织或项目。

3. 对于选择搜索平台，选择 Dataplex Universal Catalog 作为搜索 模式。

4. 在搜索 字段中，输入以下内容：

   name:TABLE_ID
   

   将 TABLE_ID 替换为已分析的表格的 ID。

5. 在显示的列表中，点击表格名称。随即会显示 BigQuery 表的详细信息。与其关联的所有 Sensitive Data Protection profile 切面都会显示在可选标记和切面 部分中。

如需详细了解如何搜索资源，请参阅 在 Knowledge Catalog 中搜索资源。

搜索查询示例

本部分提供了示例搜索查询，您可以在 Knowledge Catalog 中使用这些查询在组织或项目中查找具有特定切面值的数据。

您只能找到有权访问的数据。数据访问权限通过 IAM 权限进行控制。如需了解详情，请参阅本页面上的查看切面的 角色和权限。

您可以在 Knowledge Catalog 搜索 页面上的搜索 字段中输入这些示例查询。

转到搜索

如需了解如何构成查询，请参阅 Knowledge Catalog 的搜索语法。

查找具有 Sensitive Data Protection 剖析文件切面的所有资源

aspect:sensitive-data-protection-profile

查找具有给定敏感度得分的所有资源

aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

将 SENSITIVITY_SCORE 替换为 HIGH、MODERATE、UNKNOWN 或 LOW。

如需了解详情，请参阅 敏感度和数据风险级别。

查找具有给定风险得分的所有资源

aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

将 DATA_RISK_LEVEL 替换为 HIGH、MODERATE、UNKNOWN 或 LOW。

如需了解详情，请参阅 敏感度和数据风险级别。

查找具有项目级剖析文件的所有资源

aspect:sensitive-data-protection-profile.projectProfile

查找具有组织级剖析文件的所有资源

aspect:sensitive-data-protection-profile.organizationProfile

迁移到“以切面形式发送到 Dataplex Catalog”操作

如需迁移设置为使用已弃用的以标记形式发送到 Dataplex 操作的发现配置，请按以下步骤操作：

1. 修改配置为将发现结果以标记形式发送到 Data Catalog 的发现配置。
2. 在操作 部分中，停用以标记形式发送到 Dataplex 。
3. 启用以切面形式发送到 Dataplex Catalog 。
4. 点击保存 。