Cloud Data Loss Prevention (Cloud DLP) is now a part of Sensitive Data Protection. The API name remains the same: Cloud Data Loss Prevention API (DLP API). For information about the services that make up Sensitive Data Protection, see Sensitive Data Protection overview.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הרשאה לגילוי מידע אישי רגיש בתוך גבולות השירות

במאמר הזה מוסבר איך לאפשר ל-Sensitive Data Protection לגלות נתונים בגבולות הגזרה של VPC Service Controls וליצור פרופיל שלהם. אם בארגון שלכם משתמשים ב-VPC Service Controls כדי להגביל את השירותים בפרויקטים שבהם מתבצע סריקה של Sensitive Data Protection, צריך לבצע את המשימות שמתוארות במאמר הזה.

מידע נוסף זמין במאמר סקירה כללית של איתור נתונים רגישים.

מידע על התמיכה של VPC Service Controls ב-Sensitive Data Protection זמין בטבלת המוצרים הנתמכים במסמכי התיעוד של VPC Service Controls.

לפני שמתחילים

צריך לוודא שיש לכם בארגון את התפקיד או התפקידים הבאים: עריכה של Access Context Manager ‏(roles/accesscontextmanager.policyEditor).

בדיקת התפקידים

נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM
בוחרים את הארגון.
בעמודה Principal (חשבון המשתמש), מוצאים את כל השורות שבהן מופיע השם שלכם או של קבוצה שאתם נכללים בה. כדי לברר באילו קבוצות אתם נכללים, פנו לאדמין.
בודקים את העמודה Role בכל השורות שבהן מצוין או מופיע השם שלכם, כדי לראות אם רשימת התפקידים כוללת את התפקידים הנדרשים.

מתן התפקידים

נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM
בוחרים את הארגון.
לוחצים על Grant access.
בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.
‫
לוחצים על Select a role ומחפשים את התפקיד.
כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים אותם.
לוחצים על Save.

הגדרת מיון מידע אישי רגיש ב-VPC Service Controls

אפשר להגדיר גילוי של מידע אישי רגיש בתוך מתחם של VPC Service Controls באמצעות אחת מהגישות הארכיטקטוניות האלה.

אפשרות 1: כל המשאבים הנדרשים נמצאים באותו היקף כמו הנתונים שרוצים לסרוק

מוודאים שכל הרכיבים שמעורבים בפעולת הגילוי ממוקמים באותו היקף. כלומר, כל הרכיבים האלה צריכים להיות באותו היקף:

הפרויקטים שרוצים לסרוק.
ההגדרה של סריקת הגילוי.
סוכן השירות שצוין בהגדרת סריקת הגילוי.
קונטיינר של סוכן שירות (שנקרא גם פרויקט מנהל), שבו מתארח סוכן השירות.
תבניות בדיקה שצוינו בהגדרות של סריקת Discovery.

אם יש לכם כמה היקפי VPC Service Controls בארגון, צריך ליצור רכיבים ייעודיים בכל אחד מההיקפים האלה.

לדוגמה, אם גבולות גזרה כוללים כמה פרויקטים ששייכים לאותה תיקייה, צריך ליצור הגדרת סריקה לגילוי נתונים שההיקף שלה מוגבל לאותה תיקייה. מוודאים שהמאגר של סוכן השירות שבו אתם משתמשים הוא אחד מהפרויקטים באותו היקף.

אם תבחרו באפשרות הזו, לא תצטרכו ליצור כללי כניסה ויציאה לגילוי נתונים רגישים.

אפשרות 2: הגדרה מרכזית של גילוי עם כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress)

יצירת הגדרה מרכזית לסריקת Discovery לכל הארגון או לכמה פרויקטים בכמה היקפים.

אם הגדרת סריקת הגילוי המרכזית הזו לא נמצאת באותו גבולות גזרה כמו הנתונים שצריך לסרוק, צריך ליצור כללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress).

יצירת כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress)

אם בוחרים באפשרות 2 והנתונים שרוצים לסרוק נמצאים בהיקף שונה מההיקף של הגדרת הסריקה המרכזית לגילוי נתונים, צריך ליצור את כללי הכניסה והיציאה האלה.

מידע נוסף זמין במאמר עדכון מדיניות הכניסה והיציאה של גבולות גזרה לשירות במסמכי העזרה של VPC Service Controls.

כדי להגדיר את הכללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress), אפשר להשתמש באחת מהאפשרויות הבאות או בשתיהן:

מזהה סוכן השירות שצוין בהגדרת הסריקה המרכזית לגילוי
הפרויקט שמכיל את ההגדרה המרכזית של סריקת הגילוי

כללים לתעבורת נתונים נכנסת (ingress)

לכל גבול גזרה שמכיל נתונים לסריקה, מעדכנים את מדיניות הכניסה כדי להוסיף כלל כניסה לפעולות של מיון מידע אישי רגיש.

כדי להשתמש במזהה של סוכן השירות, בקטע מאת, מגדירים את הזהויות לבחירת זהויות וקבוצות. מוסיפים את המזהה של סוכן השירות שצוין בהגדרות של סריקת הגילוי המרכזית ובוחרים אותו. מזהה סוכן השירות הוא בפורמט הבא:
```
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com
```
מחליפים את PROJECT_NUMBER במזהה המספרי של קונטיינר סוכן השירות.
כדי להשתמש בפרויקט, בקטע From, מגדירים את Sources לפרויקט שמכיל את ההגדרה של סריקת הגילוי המרכזית.

בדוגמה הבאה נעשה שימוש גם במזהה סוכן השירות וגם בפרויקט כדי להגדיר את כלל הכניסה.

כלל כניסה עם מזהה סוכן שירות ועם קבוצת פרויקטים.

כללים לתעבורת נתונים יוצאת (egress)

לכל היקף שמכיל נתונים לסריקה, מעדכנים את מדיניות היציאה כדי להוסיף כלל יציאה לפעולות של גילוי מידע רגיש.

כדי להשתמש במזהה של סוכן השירות, בקטע מאת, מגדירים את הזהויות לבחירת זהויות וקבוצות. מוסיפים את המזהה של סוכן השירות שצוין בהגדרות של סריקת הגילוי המרכזית ובוחרים אותו. מזהה סוכן השירות הוא בפורמט הבא:
```
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com
```
מחליפים את PROJECT_NUMBER במזהה המספרי של קונטיינר סוכן השירות.
כדי להשתמש בפרויקט, בקטע אל, מגדירים את משאבים לבחירת פרויקטים. מוסיפים את הפרויקט שמכיל את ההגדרה של סריקת גילוי מרכזית ובוחרים בו.

בדוגמה הבאה נעשה שימוש גם במזהה של סוכן השירות וגם בפרויקט כדי להגדיר את כלל היציאה.

כלל יציאה עם מזהה סוכן שירות וגם עם קבוצת פרויקטים.

הרשאה לגילוי מידע אישי רגיש בתוך גבולות השירות קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.