Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Erkennung sensibler Daten innerhalb von Dienstperimetern zulassen

In diesem Dokument wird beschrieben, wie Sie Sensitive Data Protection so konfigurieren, dass Daten in Ihren VPC Service Controls-Perimetern erkannt und profiliert werden. Wenn Ihre Organisation VPC Service Controls verwendet, um Dienste in Projekten einzuschränken, die von Sensitive Data Protection gescannt werden, führen Sie die Aufgaben in diesem Dokument aus.

Weitere Informationen finden Sie unter Übersicht über die Erkennung sensibler Daten.

Informationen zur Unterstützung von VPC Service Controls für Sensitive Data Protection finden Sie in der Tabelle der unterstützten Produkte in der Dokumentation zu VPC Service Controls.

Hinweis

Prüfen Sie, ob Sie die folgenden Rollen für die Organisation haben: Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor).

Rollen prüfen

Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen
Wählen Sie die Organisation aus.
Suchen Sie in der Spalte Hauptkonto nach allen Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Fragen Sie Ihren Administrator, zu welchen Gruppen Sie gehören.
Prüfen Sie in allen Zeilen, in denen Sie angegeben oder enthalten sind, die Spalte Rolle, um zu sehen, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen
Wählen Sie die Organisation aus.
Klicken Sie auf Zugriffsrechte erteilen.
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.
Klicken Sie auf Rolle auswählen und suchen Sie nach der Rolle.
Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
Klicken Sie auf Speichern.

Erkennung sensibler Daten in VPC Service Controls konfigurieren

Sie können die Sensitive Data Protection-Erkennung innerhalb eines VPC Service Controls-Perimeters mit einem dieser Architekturansätze konfigurieren.

Option 1: Alle erforderlichen Ressourcen befinden sich im selben Perimeter wie die zu scannenden Daten.

Achten Sie darauf, dass sich alle an der Erkennung beteiligten Komponenten innerhalb desselben Perimeters befinden. Das bedeutet, dass sich alle diese Komponenten im selben Perimeter befinden müssen:

Die zu scannenden Projekte.
Die Konfiguration des Erkennungsscans.
Der in der Konfiguration des Erkennungsscans angegebene Dienst-Agent.
Der Dienst-Agent-Container (auch als Treiberprojekt bezeichnet), in dem der Dienst-Agent gehostet wird.
Alle in der Konfiguration des Erkennungsscans angegebenen Inspektionsvorlagen.

Wenn Sie mehrere VPC Service Controls-Perimeter in Ihrer Organisation haben, erstellen Sie dedizierte Komponenten in jedem dieser Perimeter.

Wenn ein Perimeter beispielsweise mehrere Projekte enthält, die zum selben Ordner gehören, erstellen Sie eine Konfiguration für den Ermittlungsscan, die auf diesen Ordner beschränkt ist. Achten Sie darauf, dass der von Ihnen verwendete Dienst-Agent-Container zu einem der Projekte im selben Perimeter gehört.

Wenn Sie diese Option auswählen, müssen Sie keine Regeln für eingehenden und ausgehenden Traffic für die Erkennung sensibler Daten erstellen.

Option 2: Zentrale Discovery-Konfiguration mit Regeln für ein- und ausgehenden Traffic

Erstellen Sie eine zentrale Konfiguration für Discovery-Scans für Ihre gesamte Organisation oder für mehrere Projekte in mehreren Perimetern.

Wenn sich diese zentrale Konfiguration für den Erkennungsscan nicht im selben Perimeter wie die zu scannenden Daten befindet, erstellen Sie Regeln für eingehenden und ausgehenden Traffic.

Regeln für ein- und ausgehenden Traffic erstellen

Erstellen Sie diese Regeln für eingehenden und ausgehenden Traffic, wenn Sie Option 2 auswählen und sich die zu scannenden Daten in einem anderen Perimeter als die zentralisierte Erkennungsscan-Konfiguration befinden.

Weitere Informationen finden Sie unter Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren in der Dokumentation zu VPC Service Controls.

Sie können die Regeln für eingehenden und ausgehenden Traffic mit einer oder beiden der folgenden Optionen definieren:

Dienst-Agent-ID, die in der zentralen Konfiguration für den Erkennungsscan angegeben ist
Projekt, das die zentralisierte Konfiguration für Datenerkennungsscan enthält

Regeln für eingehenden Traffic

Aktualisieren Sie für jeden Perimeter, der zu scannende Daten enthält, die Ingress-Richtlinie, um eine Ingress-Regel für Vorgänge zur Erkennung sensibler Daten hinzuzufügen.

Wenn Sie die Dienst-Agent-ID verwenden möchten, legen Sie im Abschnitt Von die Option Identitäten auf Identitäten und Gruppen auswählen fest. Fügen Sie die Dienst-Agent-ID hinzu, die in der zentralen Scan-Konfiguration für die Suche angegeben ist, und wählen Sie sie aus. Die ID des Dienst-Agents hat das folgende Format:
```
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com
```
Ersetzen Sie PROJECT_NUMBER durch die numerische Kennzeichnung des Service-Agent-Containers.
Wenn Sie das Projekt verwenden möchten, legen Sie im Abschnitt Von für Quellen das Projekt fest, das die zentralisierte Konfiguration für die Erkennungsscans enthält.

Im folgenden Beispiel werden sowohl die Dienst-Agent-ID als auch das Projekt verwendet, um die Eingangsregel zu definieren.

Regel für eingehenden Traffic mit einer Dienst-Agent-ID und einem Projekt.

Regeln für ausgehenden Traffic

Aktualisieren Sie für jeden Perimeter, der zu scannende Daten enthält, die Richtlinie für ausgehenden Traffic, um eine Regel für ausgehenden Traffic für Vorgänge zur Erkennung sensibler Daten hinzuzufügen.

Wenn Sie die Dienst-Agent-ID verwenden möchten, legen Sie im Abschnitt Von die Option Identitäten auf Identitäten und Gruppen auswählen fest. Fügen Sie die Dienst-Agent-ID hinzu, die in der zentralen Scan-Konfiguration für die Suche angegeben ist, und wählen Sie sie aus. Die ID des Dienst-Agents hat das folgende Format:
```
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com
```
Ersetzen Sie PROJECT_NUMBER durch die numerische Kennzeichnung des Service-Agent-Containers.
Wenn Sie das Projekt verwenden möchten, legen Sie im Bereich An die Option Ressourcen auf Projekte auswählen fest. Fügen Sie das Projekt hinzu, das die zentralisierte Scan-Konfiguration für die Erkennung enthält, und wählen Sie es aus.

Im folgenden Beispiel werden sowohl die Dienst-Agent-ID als auch das Projekt verwendet, um die Ausgangsregel zu definieren.

Regel für ausgehenden Traffic mit einer Dienst-Agent-ID und einem Projekt.

Erkennung sensibler Daten innerhalb von Dienstperimetern zulassen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.