Cloud Data Loss Prevention（Cloud DLP）は機密データの保護の一部になりました。API 名は Cloud Data Loss Prevention API（DLP API）のままです。機密データの保護を構成するサービスについては、機密データの保護の概要をご覧ください。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

サービス境界内での機密データの検出を許可する

このドキュメントでは、Sensitive Data Protection で VPC Service Controls の境界内のデータを検出してプロファイリングする方法について説明します。組織で VPC Service Controls を使用して、Sensitive Data Protection でスキャンするプロジェクトのサービスを制限している場合は、このドキュメントの手順を行います。

詳細については、機密データ検出の概要をご覧ください。

Sensitive Data Protection に対する VPC Service Controls のサポートについては、サポート対象プロダクトの表を VPC Service Controls ドキュメントでご覧ください。

始める前に

組織に Access Context Manager 編集者（roles/accesscontextmanager.policyEditor）ロールがあることを確認してください。

ロールを確認する

コンソールで、[IAM] ページに移動します。 Google Cloud
IAM に移動
組織を選択します。
[Principal] 列で、自分または自分が所属するグループの行をすべて確認します。所属するグループについては、管理者にお問い合わせください。
自分を指定または含んでいるすべての行について、[ロール] 列で、ロールのリストに必要なロールが含まれているかどうかを確認します。

ロールを付与する

コンソールで、[IAM] ページに移動します。 Google Cloud
IAM に移動
組織を選択します。
[Grant access] をクリックします。
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。これは通常、Google アカウントのメールアドレスです。
[**ロールを選択**] をクリックして、ロールを検索します。
追加のロールを付与するには、 [Add another role] をクリックして各ロールを追加します。
[保存] をクリックします。

VPC Service Controls 内で機密データの検出を構成する

次のいずれかのアーキテクチャアプローチを使用して、VPC Service Controls 境界内で Sensitive Data Protection 検出を構成できます。

オプション 1: スキャンするデータと同じ境界内の必要なリソースをすべて配置する

検出オペレーションに関与するすべてのコンポーネントが同じ境界内にあることを確認します。つまり、これらのコンポーネントはすべて同じ境界内にある必要があります。

スキャンするプロジェクト。
検出スキャンの構成。
検出スキャン構成で指定されたサービスエージェント。
サービスエージェントをホストするサービスエージェントコンテナ（ドライバプロジェクトとも呼ばれます）。
検出スキャン構成で指定された検査テンプレート。

組織に複数の VPC Service Controls 境界がある場合は、各境界内に専用のコンポーネントを作成します。

たとえば、境界に同じフォルダに属する複数のプロジェクトが含まれている場合は、そのフォルダをスコープとする検出スキャン構成を作成します。使用するサービスエージェントコンテナが、同じ境界内のプロジェクトの 1 つであることを確認します。

このオプションを選択した場合、機密データの検出の上り（内向き）ルールと下り（外向き）ルールを作成する必要はありません。

オプション 2: 上り（内向き）ルールと下り（外向き）ルールを使用した一元的な検出構成

組織全体または複数の境界にまたがる複数のプロジェクトに対して、一元的な検出スキャン構成を作成します。

この一元的な検出スキャン構成が、スキャンするデータと同じ境界内に存在しない場合は、上り（内向き）ルールと下り（外向き）ルールを作成します。

下り（外向き）ルールと上り（内向き）ルールを作成する

オプション Option 2 を選択し、スキャンするデータが一元的な検出スキャン構成とは異なる境界にある場合は、次の上り（内向き）ルールと下り（外向き）ルールを作成します。

詳細については、VPC Service Controls ドキュメントのサービス境界の上り（内向き）ポリシーと下り（外向き）ポリシーの更新をご覧ください。

上り（内向き）ルールと下り（外向き）ルールを定義するには、次のいずれかまたは両方を使用します。

一元的な検出スキャン構成で指定されたサービスエージェント ID
一元的な検出スキャン構成を含むプロジェクト

内向きルール

スキャンするデータを含む境界ごとに、上り（内向き）ポリシーを更新して、機密データの検出オペレーションの上り（内向き）ルールを追加します。

サービスエージェント ID を使用するには、[開始] セクションで、[ID] を [選択されている ID とグループ] に設定します。一元的な検出スキャン構成で指定されたサービスエージェント ID を追加して選択します。サービスエージェントの ID は次の形式です。
```
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com
```
PROJECT_NUMBER は、サービスエージェントコンテナの数値 ID に置き換えます。
プロジェクトを使用するには、[開始] セクションで、[ソース] を一元的な検出スキャン構成を含むプロジェクトに設定します。

次の例では、サービスエージェント ID とプロジェクトの両方を使用して上り（内向き）ルールを定義しています。

サービスエージェント ID とプロジェクトの両方が設定された上り（内向き）ルール。

外向きルール

スキャンするデータを含む境界ごとに、下り（外向き）ポリシーを更新して、機密データの検出オペレーションの下り（外向き）ルールを追加します。

サービスエージェント ID を使用するには、[開始] セクションで、[ID] を [選択されている ID とグループ] に設定します。一元的な検出スキャン構成で指定されたサービスエージェント ID を追加して選択します。サービスエージェントの ID は次の形式です。
```
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com
```
PROJECT_NUMBER は、サービスエージェントコンテナの数値 ID に置き換えます。
プロジェクトを使用するには、[宛先] セクションで、[リソース] を [プロジェクトを選択] に設定します。一元的な検出スキャン構成を含むプロジェクトを追加して選択します。

次の例では、サービスエージェント ID とプロジェクトの両方を使用して下り（外向き）ルールを定義しています。

サービスエージェント ID とプロジェクトセットの両方を含む下り（外向き）ルール。

サービス境界内での機密データの検出を許可する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。