In diesem Dokument werden die Aktionen beschrieben, die Sensitive Data Protection nach dem Ausführen eines Inspektionsjobs oder einer Risikoanalyse ausführen kann.
Eine Aktion ist eine Aufgabe, die Sensitive Data Protection nach Abschluss eines Inspektionsjobs oder einer Risikoanalyse ausführt. Beispielsweise können Sie die Ergebnisse in einer BigQuery-Tabelle speichern, eine Benachrichtigung in einem Pub/Sub-Thema veröffentlichen oder eine E-Mail senden, wenn ein Vorgang erfolgreich abgeschlossen oder wegen eines Fehlers beendet wurde.
Für Vorgänge zur Erkennung sensibler Daten gibt es eine andere Reihe von Aktionen. Weitere Informationen zu Erkennungsaktionen finden Sie unter Erkennungsaktionen aktivieren.
Verfügbare Aktionen
Wenn Sie einen Job zum Schutz sensibler Daten ausführen, wird standardmäßig eine Zusammenfassung der Ergebnisse in Sensitive Data Protection gespeichert. Sie können sich diese Zusammenfassung mithilfe von
Sensitive Data Protection in der Google Cloud Console ansehen. Sie
können auch zusammenfassende Informationen in der DLP API mit der
projects.dlpJobs.get
Methode abrufen.
In den folgenden Abschnitten werden die Aktionen beschrieben, die für Inspektions- und Risikoanalysejobs verfügbar sind.
Ergebnisse in BigQuery speichern
Speichern Sie die Jobergebnisse von Sensitive Data Protection in einer BigQuery-Tabelle. Bevor Sie die Ergebnisse ansehen oder analysieren, prüfen Sie zuerst, ob der Job abgeschlossen ist.
Bei jeder Ausführung eines Scans speichert Sensitive Data Protection Scanergebnisse in der von Ihnen angegebenen BigQuery-Tabelle. Die exportierten Ergebnisse enthalten Details zum Speicherort der einzelnen Übereinstimmungen und zur Übereinstimmungswahrscheinlichkeit.
Wenn jedes Ergebnis den String enthalten soll, der mit dem infoType-Detektor übereinstimmt, aktivieren Sie die Option Zitat einschließen. Zitate können vertrauliche Informationen enthalten, daher werden sie standardmäßig nicht in die Ergebnisse aufgenommen.
Wenn Sie keine Tabellen-ID angeben, weist BigQuery einer neuen Tabelle einen Standardnamen zu, wenn der Scan zum ersten Mal ausgeführt wird. Der Name ähnelt
dlpgoogleapisDATE_1234567890, wobei
DATE das Datum darstellt, an dem der Scan ausgeführt wird. Wenn Sie eine vorhandene Tabelle angeben, hängt Sensitive Data Protection Scanergebnisse an diese an.
Wenn Daten in eine BigQuery-Tabelle geschrieben werden, werden die Abrechnung und Kontingentnutzung dem Projekt zugeschrieben, das die Zieltabelle enthält.
Ergebnisse in Cloud Storage speichern
Speichern Sie die Jobergebnisse von Sensitive Data Protection in einem vorhandenen Cloud Storage Bucket oder Ordner. Bevor Sie die Ergebnisse ansehen oder analysieren, prüfen Sie zuerst, ob der Job abgeschlossen ist.
Wenn Sie einen Cloud Storage-Bucket prüfen, darf der Bucket, den Sie für exportierte Ergebnisse angeben, nicht der Bucket sein, den Sie prüfen.
Bei jeder Ausführung eines Scans speichert Sensitive Data Protection Scanergebnisse am von Ihnen angegebenen Cloud Storage-Speicherort. Die exportierten Ergebnisse enthalten Details zum Speicherort der einzelnen Übereinstimmungen und zur Übereinstimmungswahrscheinlichkeit.
Wenn jedes Ergebnis den String enthalten soll, der mit dem infoType-Detektor übereinstimmt, aktivieren Sie die Option Zitat einschließen. Zitate können vertrauliche Informationen enthalten, daher werden sie standardmäßig nicht in die Ergebnisse aufgenommen.
Die Ergebnisse werden im Protobuf-Textformat als
SaveToGcsFindingsOutput
Objekt exportiert. Informationen zum Parsen von Ergebnissen in diesem Format finden Sie unter Ergebnisse
parsen, die als Protobuf
Text gespeichert sind.
In Pub/Sub veröffentlichen
Veröffentlichen Sie eine Benachrichtigung, die den Namen des Jobs zum Schutz sensibler Daten als Attribut für einen Pub/Sub-Kanal enthält. Sie können ein oder mehrere Themen angeben, an die die Benachrichtigung gesendet werden soll. Achten Sie darauf, dass das Dienstkonto von Sensitive Data Protection, mit dem der Scanjob ausgeführt wird, Veröffentlichungszugriff auf das Thema hat.
Wenn es Konfigurations- oder Berechtigungsprobleme mit dem Pub/Sub-Thema gibt, versucht Sensitive Data Protection bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.
In Security Command Center veröffentlichen
Veröffentlichen Sie eine Zusammenfassung der Jobergebnisse im Security Command Center. Weitere Informationen finden Sie unter Scanergebnisse von Sensitive Data Protection an Security Command Center senden.
Um diese Aktion zu verwenden, muss Ihr Projekt zu einer Organisation gehören und Security Command Center muss auf Organisationsebene aktiviert sein. Andernfalls werden die Ergebnisse von Sensitive Data Protection nicht im Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.
In Knowledge Catalog veröffentlichen
Senden Sie die Ergebnisse eines BigQuery-Inspektions jobs an Knowledge Catalog. Weitere Informationen finden Sie unter Inspektionsergebnisse als Aspekte an Knowledge Catalog senden.
In Data Catalog veröffentlichen
Senden Sie Jobergebnisse an Data Catalog. Diese Funktion ist veraltet.
Per E-Mail benachrichtigen
Senden Sie eine E-Mail, wenn der Job abgeschlossen ist. Die E-Mail wird an IAM Projektinhaber und wichtige technische Kontakte gesendet.
In Cloud Monitoring veröffentlichen
Senden Sie Inspektionsergebnisse an Cloud Monitoring in Google Cloud Observability.
De-identifizierte Kopie erstellen
De-identifizieren Sie alle Ergebnisse in den geprüften Daten und schreiben Sie die de-identifizierten Inhalte in eine neue Datei. Sie können die de-identifizierte Kopie dann in Ihren Geschäftsprozessen anstelle von Daten verwenden, die vertrauliche Informationen enthalten. Weitere Informationen finden Sie unter De-identifizierte Kopie von Cloud Storage-Daten mit Sensitive Data Protection in der Google Cloud Console erstellen.
Unterstützte Vorgänge
In der folgenden Tabelle sind die Vorgänge von Sensitive Data Protection und die Verfügbarkeit der einzelnen Aktionen aufgeführt.
| Aktion | BigQuery-Prüfung | Cloud Storage-Prüfung | Datastore-Prüfung | Hybride Prüfung | Risikoanalyse |
|---|---|---|---|---|---|
| Ergebnisse in BigQuery speichern | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ergebnisse in Cloud Storage speichern | ✓ | ✓ | ✓ | ✓ | |
| In Pub/Sub veröffentlichen | ✓ | ✓ | ✓ | ✓ | ✓ |
| In Security Command Center veröffentlichen | ✓ | ✓ | ✓ | ||
| In Knowledge Catalog veröffentlichen | ✓ | ||||
| In Data Catalog veröffentlichen (verworfen) | ✓ | ||||
| Per E-Mail benachrichtigen | ✓ | ✓ | ✓ | ✓ | ✓ |
| In Cloud Monitoring veröffentlichen | ✓ | ✓ | ✓ | ✓ | |
| Ergebnisse de-identifizieren | ✓ |
Aktionen angeben
Sie können beim Konfigurieren eines Jobs eine oder mehrere Aktionen angeben:
- Wenn Sie einen neuen Inspektions- oder Risikoanalysejob mit Sensitive Data Protection in der Google Cloud Console erstellen, geben Sie Aktionen im Abschnitt Aktionen hinzufügen des Workflows zur Joberstellung an.
- Wenn Sie eine neue Jobanfrage konfigurieren, um sie an die DLP API zu senden,
geben Sie Aktionen im
ActionObjekt an.
Weitere Informationen und Beispielcode in mehreren Sprachen finden Sie unter:
- Inspektionsjobs erstellen und planen
- k-Anonymität für ein Dataset berechnen
- l-Diversität für ein Dataset berechnen
Beispielszenario für eine Aktion
Sie können Sensitive Data Protection-Aktionen verwenden, um Prozesse basierend auf Sensitive Data Protection-Scanergebnissen zu automatisieren. Angenommen, Sie haben eine BigQuery-Tabelle für einen externen Partner freigegeben. Sie möchten, dass diese Tabelle keine vertraulichen Kennzeichnungen wie US-Sozialversicherungsnummern (infoType US_SOCIAL_SECURITY_NUMBER) enthält und, falls doch solche Kennzeichnungen gefunden werden, der Partner keinen Zugriff erhält. Hier ist ein grober Überblick über einen Workflow mit Aktionen:
- Erstellen Sie einen Job -Trigger für Sensitive Data Protection, mit dem alle 24 Stunden ein Inspektionsscan der BigQuery-Tabelle ausgeführt wird.
- Legen Sie für diese Jobs als Aktion fest, dass eine Pub/Sub-Benachrichtigung im Thema "projects/foo/scan_notifications" veröffentlicht wird.
- Erstellen Sie eine Cloud Functions-Funktion, die eingehende Nachrichten auf „projects/foo/scan_notifications“ überwacht. Diese Cloud Functions-Funktion empfängt alle 24 Stunden den Namen des Jobs zum Schutz sensibler Daten und ruft Sensitive Data Protection auf, um zusammengefasste Ergebnisse von diesem Job zu erhalten. Wurden Sozialversicherungsnummern gefunden, kann die Funktion die Einstellungen in BigQuery oder in Cloud Identity and Access Management (IAM) ändern, um den Zugriff auf die Tabelle zu beschränken.
Nächste Schritte
- Mehr zu den für Inspektionsjobs verfügbaren Aktionen
- Mehr zu Aktionen, die mit Risikoanalyse jobs verfügbar sind
- Mehr zu Aktionen, die mit Vorgängen zur Erkennung sensibler Daten verfügbar sind.