允许在服务边界内发现敏感数据

本文档介绍了如何让 Sensitive Data Protection 发现并分析 VPC Service Controls 边界中的数据。如果您的组织使用 VPC Service Controls 来限制 Sensitive Data Protection 扫描的项目中的服务,请执行本文档中的任务。

如需了解详情,请参阅敏感数据发现概览

如需了解 VPC Service Controls 对 Sensitive Data Protection 的支持,请参阅 VPC Service Controls 文档中的支持的产品表格。

准备工作

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 选择组织。
  3. 点击 授予访问权限

  4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

  5. 点击选择角色,然后搜索相应角色。
  6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
  7. 点击 Save(保存)。

    8. 在 VPC Service Controls 中配置敏感数据发现

    您可以使用以下架构方法之一,在 VPC Service Controls 边界内配置敏感数据保护发现。

    选项 1:所有必需资源都位于要扫描的数据所在的同一周边区域内

    确保参与发现操作的所有组件都位于同一周边范围内。也就是说,这些组件必须全部位于同一安全边界内:

    • 要扫描的项目。
    • 发现扫描配置
    • 发现扫描配置中指定的服务代理
    • 服务代理容器(也称为驱动项目),用于托管服务代理。
    • 发现扫描配置中指定的任何检查模板

    如果您有多个 VPC Service Controls 边界,请在每个边界内创建专用组件。

    如果您选择此选项,则无需为敏感数据发现功能创建入站流量规则和出站流量规则。

    选项 2:使用入站流量和出站流量规则进行集中式发现配置

    为整个组织或多个边界内的多个项目创建集中式发现服务扫描配置。

    如果此集中式发现扫描配置与要扫描的数据不在同一安全边界内,请创建入站和出站规则。

    创建入站流量和出站流量规则

    如果您选择选项 2,并且要扫描的数据与集中式发现服务扫描配置位于不同的安全边界内,请创建这些入站和出站规则。

    如需了解详情,请参阅 VPC Service Controls 文档中的更新服务边界的入站流量和出站流量政策

    如需定义入站和出站规则,您可以使用以下一项或两项:

    • 集中式发现扫描配置中指定的服务代理 ID
    • 包含集中式发现扫描配置的项目

    入站规则

    对于包含要扫描的数据的每个安全边界,更新入站政策,以添加针对敏感数据发现操作的入站规则。

    • 如需使用服务代理 ID,请在来源部分中将身份设置为选择身份和群组。添加并选择集中发现扫描配置中指定的服务代理 ID。服务代理的 ID 采用以下格式:

      service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

      PROJECT_NUMBER 替换为服务代理容器的数字标识符。

    • 如需使用该项目,请在来源部分中,将来源设置为包含集中式发现扫描配置的项目。

    以下示例同时使用服务代理 ID 和项目来定义入站规则。

    同时设置了服务代理 ID 和项目的入站流量规则。

    出站流量规则

    对于包含要扫描的数据的每个安全边界,请更新出站政策,以添加用于敏感数据发现操作的出站规则。

    • 如需使用服务代理 ID,请在来源部分中将身份设置为选择身份和群组。添加并选择集中发现扫描配置中指定的服务代理 ID。服务代理的 ID 采用以下格式:

      service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

      PROJECT_NUMBER 替换为服务代理容器的数字标识符。

    • 如需使用项目,请在目标部分中,将资源设置为选择项目。添加并选择包含集中式发现扫描配置的项目。

    以下示例同时使用服务代理 ID 和项目来定义出站规则。

    同时设置了服务代理 ID 和项目的出站规则。