允許在服務範圍內探索機密資料

本文說明如何讓 Sensitive Data Protection 探索及分析 VPC Service Controls 服務範圍中的資料。如果貴機構使用 VPC Service Controls 限制專案中的服務,而這些專案會接受 Sensitive Data Protection 掃描,請執行本文中的工作。

詳情請參閱「機密資料探索總覽」。

如要瞭解 VPC Service Controls 對 Sensitive Data Protection 的支援情形,請參閱 VPC Service Controls 說明文件中的「支援的產品」表格。

事前準備

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    前往 IAM
  2. 選取所需組織。
  3. 按一下「Grant access」(授予存取權)

  4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是指 Google 帳戶的電子郵件地址。

  5. 按一下「選取角色」,然後搜尋角色。
  6. 如要授予其他角色,請按一下「Add another role」(新增其他角色),然後新增其他角色。
  7. 按一下「Save」(儲存)

    8. 在 VPC Service Controls 中設定機密資料探索功能

    您可以使用下列其中一種架構方法,在 VPC Service Controls perimeter 內設定 Sensitive Data Protection 探索功能。

    選項 1:所有必要資源都位於與要掃描的資料相同的周邊範圍內

    確保探索作業涉及的所有元件都位於相同周邊範圍內。也就是說,這些元件必須位於同一週邊:

    如果您有多個 VPC Service Controls 範圍,請在每個範圍內建立專屬元件。

    如果選擇這個選項,您就不需要為敏感資料探索功能建立輸入和輸出規則。

    選項 2:使用輸入和輸出規則集中設定探索

    為整個機構或多個周邊的多個專案,建立集中式探索掃描設定。

    如果這個集中式探索掃描設定與要掃描的資料不在同一週邊,請建立輸入和輸出規則。

    建立輸入和輸出規則

    如果您選擇「選項 2」,且要掃描的資料與集中式探索掃描設定位於不同周邊,請建立這些輸入和輸出規則。

    詳情請參閱 VPC Service Controls 說明文件的「更新 service perimeter 的輸入和輸出政策」一節。

    如要定義輸入和輸出規則,可以使用下列一或多項:

    • 集中式探索掃描設定中指定的服務代理程式 ID
    • 包含集中式探索掃描設定的專案

    輸入規則

    針對每個含有待掃描資料的邊界,更新輸入政策,為機密資料探索作業新增輸入規則。

    • 如要使用服務代理 ID,請在「From」(來源) 部分中,將「Identities」(身分) 設為「Select identities & groups」(選取身分和群組)。新增並選取集中式探索掃描設定中指定的服務代理 ID。服務代理程式的 ID 格式如下:

      service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

      PROJECT_NUMBER 替換為服務代理程式容器的數字 ID。

    • 如要使用專案,請在「來源」部分中,將「來源」設為包含集中式探索掃描設定的專案。

    以下範例同時使用服務代理程式 ID 和專案,定義輸入規則。

    同時包含服務代理程式 ID 和專案集的輸入規則。

    輸出規則

    針對每個含有待掃描資料的周邊,更新輸出政策,為機密資料探索作業新增輸出規則。

    • 如要使用服務代理 ID,請在「From」(來源) 部分中,將「Identities」(身分) 設為「Select identities & groups」(選取身分和群組)。新增並選取集中式探索掃描設定中指定的服務代理 ID。服務代理程式的 ID 格式如下:

      service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

      PROJECT_NUMBER 替換為服務代理程式容器的數字 ID。

    • 如要使用專案,請在「To」(目標) 區段中,將「Resources」(資源) 設為「Select projects」(選取專案)。新增並選取含有集中式探索掃描設定的專案。

    下列範例同時使用服務代理程式 ID 和專案,定義輸出規則。

    同時包含服務代理程式 ID 和專案集的輸出規則。