Cloud Data Loss Prevention (Cloud DLP) kini menjadi bagian dari Sensitive Data Protection. Nama API tetap sama: Cloud Data Loss Prevention API (DLP API). Untuk informasi tentang layanan yang membentuk Perlindungan Data Sensitif, lihat Ringkasan Perlindungan Data Sensitif.

Mengizinkan penemuan data sensitif dalam perimeter layanan

Dokumen ini menjelaskan cara mengizinkan Perlindungan Data Sensitif menemukan dan membuat profil data di perimeter Kontrol Layanan VPC Anda. Jika organisasi Anda menggunakan Kontrol Layanan VPC untuk membatasi layanan dalam project yang dipindai Sensitive Data Protection, lakukan tugas-tugas dalam dokumen ini.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penemuan data sensitif.

Untuk mengetahui informasi tentang dukungan Kontrol Layanan VPC untuk Sensitive Data Protection, lihat tabel Produk yang didukung dalam dokumentasi Kontrol Layanan VPC.

Sebelum memulai

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the organization.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Buka IAM
Pilih organisasi.
Klik Grant access.
Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.
Klik Pilih peran, lalu telusuri peran.
Untuk memberikan peran tambahan, klik Add another role, lalu tambahkan tiap peran tambahan.
Klik Save.

Mengonfigurasi penemuan data sensitif dalam Kontrol Layanan VPC

Anda dapat mengonfigurasi penemuan Sensitive Data Protection dalam perimeter Kontrol Layanan VPC menggunakan salah satu pendekatan arsitektur berikut.

Opsi 1: Semua resource yang diperlukan berada di perimeter yang sama dengan data yang akan dipindai

Pastikan semua komponen yang terlibat dalam operasi penemuan berada dalam perimeter yang sama. Artinya, semua komponen ini harus berada di perimeter yang sama:

Project yang akan dipindai.
Konfigurasi pemindaian penemuan.
Agen layanan yang ditentukan dalam konfigurasi pemindaian penemuan.
Container agen layanan (juga dikenal sebagai project driver), yang menghosting agen layanan.
Template inspeksi yang ditentukan dalam konfigurasi pemindaian penemuan.

Jika Anda memiliki beberapa perimeter Kontrol Layanan VPC, buat komponen khusus di dalam setiap perimeter tersebut.

Jika memilih opsi ini, Anda tidak perlu membuat aturan masuk dan keluar untuk penemuan data sensitif.

Opsi 2: Konfigurasi penemuan terpusat dengan aturan ingress dan egress

Buat konfigurasi pemindaian penemuan terpusat untuk seluruh organisasi Anda atau untuk beberapa project di beberapa perimeter.

Jika konfigurasi pemindaian penemuan terpusat ini tidak berada dalam perimeter yang sama dengan data yang akan dipindai, buat aturan ingress dan egress.

Buat aturan ingress dan egress

Buat aturan masuk dan keluar ini jika Anda memilih Opsi 2 dan data yang akan dipindai berada di perimeter yang berbeda dari konfigurasi pemindaian penemuan terpusat.

Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan ingress dan egress untuk perimeter layanan dalam dokumentasi Kontrol Layanan VPC.

Untuk menentukan aturan ingress dan egress, Anda dapat menggunakan salah satu atau kedua hal berikut:

ID agen layanan yang ditentukan dalam konfigurasi pemindaian penemuan terpusat
Project yang berisi konfigurasi pemindaian penemuan terpusat

Aturan ingress

Untuk setiap perimeter yang berisi data yang akan dipindai, perbarui kebijakan masuk untuk menambahkan aturan masuk bagi operasi penemuan data sensitif.

Untuk menggunakan ID agen layanan, di bagian From, tetapkan Identities ke Select identities & groups. Tambahkan dan pilih ID agen layanan yang ditentukan dalam konfigurasi pemindaian penemuan terpusat. ID agen layanan memiliki format berikut:
```
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com
```
Ganti PROJECT_NUMBER dengan ID numerik penampung agen layanan.
Untuk menggunakan project, di bagian Dari, tetapkan Sumber ke project yang berisi konfigurasi pemindaian penemuan terpusat.

Contoh berikut menggunakan ID agen layanan dan project untuk menentukan aturan ingress.

Aturan ingress dengan ID agen layanan dan project yang ditetapkan.

Aturan keluar

Untuk setiap perimeter yang berisi data yang akan dipindai, perbarui kebijakan keluar untuk menambahkan aturan keluar bagi operasi penemuan data sensitif.

Untuk menggunakan ID agen layanan, di bagian From, tetapkan Identities ke Select identities & groups. Tambahkan dan pilih ID agen layanan yang ditentukan dalam konfigurasi pemindaian penemuan terpusat. ID agen layanan memiliki format berikut:
```
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com
```
Ganti PROJECT_NUMBER dengan ID numerik penampung agen layanan.
Untuk menggunakan project, di bagian To, tetapkan Resources ke Select projects. Tambahkan dan pilih project yang berisi konfigurasi pemindaian penemuan terpusat.

Contoh berikut menggunakan ID agen layanan dan project untuk menentukan aturan keluar.

Aturan egress dengan ID agen layanan dan set project.

Mengizinkan penemuan data sensitif dalam perimeter layanan Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.