Autoriser la découverte des données sensibles dans les périmètres de service

Ce document explique comment permettre à Sensitive Data Protection de découvrir et de profiler les données dans vos périmètres VPC Service Controls. Si votre organisation utilise VPC Service Controls pour limiter les services dans les projets analysés par la protection des données sensibles, effectuez les tâches décrites dans ce document.

Pour en savoir plus, consultez Présentation de la découverte de données sensibles.

Pour en savoir plus sur la compatibilité de VPC Service Controls avec Sensitive Data Protection, consultez le tableau Produits compatibles dans la documentation de VPC Service Controls.

Avant de commencer

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Accéder à IAM
  2. Sélectionnez l'organisation.
  3. Cliquez sur  Accorder l'accès.

  4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

  5. Cliquez sur Sélectionner un rôle, puis recherchez le rôle.
  6. Pour attribuer des rôles supplémentaires, cliquez sur  Ajouter un autre rôle et ajoutez tous les rôles supplémentaires.
  7. Cliquez sur Enregistrer.

    8. Configurer la découverte des données sensibles dans VPC Service Controls

    Vous pouvez configurer la découverte Sensitive Data Protection dans un périmètre VPC Service Controls à l'aide de l'une de ces approches architecturales.

    Option 1 : Toutes les ressources requises se trouvent dans le même périmètre que les données à analyser

    Assurez-vous que tous les composants impliqués dans l'opération de découverte se trouvent dans le même périmètre. Autrement dit, ces composants doivent tous se trouver dans le même périmètre :

    Si vous disposez de plusieurs périmètres VPC Service Controls, créez des composants dédiés à l'intérieur de chacun d'eux.

    Si vous choisissez cette option, vous n'avez pas besoin de créer de règles d'entrée et de sortie pour la découverte des données sensibles.

    Option 2 : Configuration de la découverte centralisée avec des règles d'entrée et de sortie

    Créez une configuration d'analyse de découverte centralisée pour l'ensemble de votre organisation ou pour plusieurs projets sur plusieurs périmètres.

    Si cette configuration d'analyse de découverte centralisée ne se trouve pas dans le même périmètre que les données à analyser, créez des règles d'entrée et de sortie.

    Créer les règles d'entrée et de sortie

    Créez ces règles d'entrée et de sortie si vous choisissez l'option 2 et que les données à analyser se trouvent dans un périmètre différent de la configuration d'analyse de découverte centralisée.

    Pour en savoir plus, consultez Mettre à jour les règles d'entrée et de sortie d'un périmètre de service dans la documentation de VPC Service Controls.

    Pour définir vos règles d'entrée et de sortie, vous pouvez utiliser l'une des méthodes suivantes, ou les deux :

    • ID de l'agent de service spécifié dans la configuration de l'analyse de découverte centralisée
    • Projet contenant la configuration d'analyse de découverte centralisée

    Règles d'entrée

    Pour chaque périmètre contenant des données à analyser, mettez à jour le règlement d'entrée afin d'ajouter une règle d'entrée pour les opérations de découverte des données sensibles.

    • Pour utiliser l'ID de l'agent de service, dans la section De, définissez Identités sur Sélectionner des identités et des groupes. Ajoutez et sélectionnez l'ID de l'agent de service spécifié dans la configuration d'analyse de découverte centralisée. L'ID de l'agent de service est au format suivant :

      service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

      Remplacez PROJECT_NUMBER par l'identifiant numérique du conteneur de l'agent de service.

    • Pour utiliser le projet, dans la section De, définissez Sources sur le projet contenant la configuration d'analyse de découverte centralisée.

    L'exemple suivant utilise à la fois l'ID de l'agent de service et le projet pour définir la règle d'entrée.

    Règle d'Ingress avec un ID d'agent de service et un projet définis.

    Règles de sortie

    Pour chaque périmètre contenant des données à analyser, mettez à jour la règle de sortie pour ajouter une règle de sortie pour les opérations de découverte des données sensibles.

    • Pour utiliser l'ID de l'agent de service, dans la section De, définissez Identités sur Sélectionner des identités et des groupes. Ajoutez et sélectionnez l'ID de l'agent de service spécifié dans la configuration d'analyse de découverte centralisée. L'ID de l'agent de service est au format suivant :

      service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

      Remplacez PROJECT_NUMBER par l'identifiant numérique du conteneur de l'agent de service.

    • Pour utiliser le projet, dans la section À, définissez Ressources sur Sélectionner des projets. Ajoutez et sélectionnez le projet contenant la configuration d'analyse de la découverte centralisée.

    L'exemple suivant utilise à la fois l'ID de l'agent de service et le projet pour définir la règle de sortie.

    Règle de sortie avec un ID d'agent de service et un projet définis.