本文說明如何讓 Sensitive Data Protection 探索及分析 VPC Service Controls 服務範圍中的資料。如果貴機構使用 VPC Service Controls 限制專案中的服務,而這些專案會接受 Sensitive Data Protection 掃描,請按照本文中的步驟操作。
詳情請參閱「機密資料探索總覽」。
如要瞭解 VPC Service Controls 對 Sensitive Data Protection 的支援情形,請參閱 VPC Service Controls 說明文件中的「支援的產品」表格。
事前準備
確認您在機構中具備下列角色:
Access Context Manager 編輯者
(roles/accesscontextmanager.policyEditor)。
檢查角色
-
前往 Google Cloud 控制台的「IAM」頁面。
前往「IAM」頁面 - 選取機構。
-
在「主體」欄中,找出所有識別您或您所屬群組的資料列。如要瞭解自己所屬的群組,請與管理員聯絡。
- 針對指定或包含您的所有列,請檢查「角色」欄,確認角色清單是否包含必要角色。
授予角色
-
前往 Google Cloud 控制台的「IAM」頁面。
前往「IAM」頁面 - 選取機構。
- 按一下「Grant access」(授予存取權)。
-
在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是指 Google 帳戶的電子郵件地址。
- 按一下「選取角色」,然後搜尋角色。
- 如要授予其他角色,請按一下「Add another role」(新增其他角色),然後新增其他角色。
- 按一下「Save」(儲存)。
在 VPC Service Controls 中設定機密資料探索功能
您可以使用下列其中一種架構方法,在 VPC Service Controls perimeter 內設定 Sensitive Data Protection 探索功能。
選項 1:所有必要資源都位於與要掃描的資料相同的周邊範圍內
確保探索作業涉及的所有元件都位於相同周邊。也就是說,這些元件必須位於同一週邊:
如果您有多個 VPC Service Controls 範圍,請在每個範圍內建立專屬元件。
如果選擇這個選項,您就不需要為機密資料探索建立輸入和輸出規則。
選項 2:使用輸入和輸出規則集中設定探索
為整個機構或多個周邊的多個專案,建立集中式探索掃描設定。
如果這個集中式探索掃描設定與要掃描的資料不在同一週邊,請建立輸入和輸出規則。
建立輸入和輸出規則
如果您選擇「選項 2」,且要掃描的資料與集中式探索掃描設定位於不同周邊,請建立這些輸入和輸出規則。
詳情請參閱 VPC Service Controls 說明文件的「更新 service perimeter 的輸入和輸出政策」一節。
如要定義輸入和輸出規則,可以使用下列一或多項:
- 集中式探索掃描設定中指定的服務代理程式 ID
- 包含集中式探索掃描設定的專案
輸入規則
針對每個含有待掃描資料的周邊,更新輸入政策,為機密資料探索作業新增輸入規則。
如要使用服務代理 ID,請在「From」(來源) 部分中,將「Identities」(身分) 設為「Select identities & groups」(選取身分和群組)。新增並選取集中式探索掃描設定中指定的服務代理 ID。服務代理程式 ID 的格式如下:
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com將
PROJECT_NUMBER替換為服務代理程式容器的數值 ID。如要使用專案,請在「來源」部分中,將「來源」設為包含集中式探索掃描設定的專案。
以下範例同時使用服務代理程式 ID 和專案,定義輸入規則。
輸出規則
針對每個含有待掃描資料的周邊,更新輸出政策,為機密資料探索作業新增輸出規則。
如要使用服務代理 ID,請在「From」(來源) 部分中,將「Identities」(身分) 設為「Select identities & groups」(選取身分和群組)。新增並選取集中式探索掃描設定中指定的服務代理 ID。服務代理程式 ID 的格式如下:
service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com將
PROJECT_NUMBER替換為服務代理程式容器的數值 ID。如要使用專案,請在「To」(收件者)部分將「Resources」(資源)設為「Select projects」(選取專案)。新增並選取含有集中式探索掃描設定的專案。
下列範例同時使用服務代理程式 ID 和專案,定義輸出規則。
