Ce document décrit les actions que Sensitive Data Protection peut effectuer après l'exécution d'une tâche d'inspection ou d'une analyse des risques.
Une action est une tâche que Sensitive Data Protection effectue après avoir terminé une tâche d'inspection ou une analyse des risques. Par exemple, vous pouvez enregistrer les résultats dans une table BigQuery, publier une notification dans un sujet Pub/Sub ou envoyer un e-mail lorsqu'une opération se termine avec succès ou s'arrête en raison d'une erreur.
Les opérations de découverte des données sensibles disposent d'un ensemble d'actions différent. Pour en savoir plus sur les actions de découverte, consultez la section Activer les actions de découverte.
Actions disponibles
Lorsque vous exécutez une tâche Sensitive Data Protection, un résumé de ses résultats est enregistré par défaut dans Sensitive Data Protection. Vous pouvez consulter ce résumé à l'aide de
Sensitive Data Protection dans la Google Cloud console. Vous
pouvez également récupérer des informations récapitulatives dans l'API DLP à l'aide de la
projects.dlpJobs.get
méthode.
Les sections suivantes décrivent les actions disponibles pour les tâches d'inspection et d'analyse des risques.
Enregistrer les résultats dans BigQuery
Enregistrez les résultats de la tâche Sensitive Data Protection dans une BigQuery. Avant de consulter ou d'analyser les résultats, vérifiez d'abord que la tâche est terminée.
Chaque fois qu'une analyse est exécutée, Sensitive Data Protection enregistre les résultats d'analyse dans la table BigQuery que vous spécifiez. Les résultats exportés contiennent des détails sur l'emplacement de chaque résultat et la probabilité de correspondance.
Si vous souhaitez que chaque résultat inclue la chaîne qui correspond au détecteur infoType, activez l'option Inclure la citation. Les citations étant potentiellement sensibles, Sensitive Data Protection ne les inclut pas dans les résultats par défaut.
Si vous ne spécifiez pas d'ID de table, BigQuery attribue un nom par défaut à une nouvelle table lors de la première exécution de l'analyse. Le nom est semblable à
dlpgoogleapisDATE_1234567890, où
DATE représente la date d'exécution de l'analyse. Si vous spécifiez une table existante, Sensitive Data Protection y ajoute les résultats d'analyse.
Lorsque des données sont écrites dans une table BigQuery, la facturation et l'utilisation des quotas sont appliquées au projet contenant la table de destination.
Enregistrer les résultats dans Cloud Storage
Enregistrez les résultats de la tâche Sensitive Data Protection dans un bucket ou un dossier Cloud Storage existant. Avant de consulter ou d'analyser les résultats, vérifiez d'abord que la tâche est terminée.
Si vous inspectez un bucket Cloud Storage, le bucket que vous désignez pour les résultats exportés ne doit pas être celui que vous inspectez.
Chaque fois qu'une analyse est exécutée, Sensitive Data Protection enregistre les résultats d'analyse dans l'emplacement Cloud Storage que vous spécifiez. Les résultats exportés contiennent des détails sur l'emplacement de chaque résultat et la probabilité de correspondance.
Si vous souhaitez que chaque résultat inclue la chaîne qui correspond au détecteur infoType, activez l'option Inclure la citation. Les citations étant potentiellement sensibles, Sensitive Data Protection ne les inclut pas dans les résultats par défaut.
Les résultats sont exportés au format texte Protobuf en tant qu'
SaveToGcsFindingsOutput
objet. Pour savoir comment analyser les résultats dans ce format, consultez la section Analyser
les résultats stockés au format texte
Protobuf.
Publier dans Pub/Sub
Publiez une notification qui contient le nom de la tâche Sensitive Data Protection en tant qu'attribut d'un canal Pub/Sub. Vous pouvez spécifier un ou plusieurs sujets auxquels envoyer le message de notification. Assurez-vous que le compte de service Sensitive Data Protection qui exécute la tâche d'analyse dispose d'un accès en publication sur le sujet.
En cas de problème de configuration ou d'autorisation avec le sujet Pub/Sub, Sensitive Data Protection tente d'envoyer à nouveau la notification Pub/Sub pendant deux semaines maximum. Au bout de deux semaines, la notification est supprimée.
Publier dans Security Command Center
Publiez un résumé des résultats de la tâche dans Security Command Center. Pour en savoir plus, consultez la section Envoyer les résultats d'analyse Sensitive Data Protection à Security Command Center.
Pour utiliser cette action, votre projet doit appartenir à une organisation, et Security Command Center doit être activé au niveau de l'organisation. Sinon, les résultats Sensitive Data Protection n'apparaîtront pas dans Security Command Center. Pour en savoir plus, consultez la section Vérifier le niveau d'activation de Security Command Center.
Publier dans Knowledge Catalog
Envoyez les résultats d'une tâche d'inspection BigQuery à Knowledge Catalog. Pour en savoir plus, consultez la section Envoyer les résultats d'inspection à Knowledge Catalog en tant qu' aspects.
Publier dans Data Catalog
Envoyez les résultats de la tâche à Data Catalog. Cette fonctionnalité est obsolète.
Avertir par e-mail
Envoyez un e-mail lorsque la tâche est terminée. L'e-mail est envoyé aux propriétaires de projets IAM et aux contacts essentiels techniques Essential Contacts.
Publier sur Cloud Monitoring
Envoyez les résultats d'inspection à Cloud Monitoring dans Google Cloud Observability.
Créer une copie anonymisée
Anonymisez tous les résultats dans les données inspectées et écrivez le contenu anonymisé dans un nouveau fichier. Vous pouvez ensuite utiliser la copie anonymisée dans vos processus métier, à la place des données contenant des informations sensibles. Pour en savoir plus, consultez la section Créer une copie anonymisée des données Cloud Storage à l'aide de Sensitive Data Protection dans la Google Cloud console.
Opérations prises en charge
Le tableau suivant présente les opérations Sensitive Data Protection et les actions disponibles pour chacune d'elles.
| Action | Inspection BigQuery | Inspection Cloud Storage | Inspection Datastore | Inspection hybride | Analyse des risques |
|---|---|---|---|---|---|
| Enregistrer les résultats dans BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| Enregistrer les résultats dans Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| Publier dans Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publier dans Security Command Center | ✓ | ✓ | ✓ | ||
| Publier dans Knowledge Catalog | ✓ | ||||
| Publier dans Data Catalog (obsolète) | ✓ | ||||
| Avertir par e-mail | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publier sur Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| Anonymiser les résultats | ✓ |
Spécifier des actions
Vous pouvez spécifier une ou plusieurs actions lorsque vous configurez une tâche :
- Lorsque vous créez une nouvelle tâche d'inspection ou d'analyse des risques à l'aide de Sensitive Data Protection dans la Google Cloud console, spécifiez des actions dans la section Ajouter des actions du workflow de création de la tâche.
- Lorsque vous configurez une nouvelle requête de tâche à envoyer à l'API DLP,
vous pouvez spécifier des actions dans l'objet
Action.
Pour obtenir plus d'informations et des exemples de code dans plusieurs langages, consultez les sections suivantes :
- Créer et planifier des tâches d'inspection
- Calculer k-anonymat pour un ensemble de données
- Calculer l-diversité pour un ensemble de données
Exemple de scénario d'action
Vous pouvez utiliser les actions Sensitive Data Protection pour automatiser les processus en fonction des résultats des analyses effectuées avec Sensitive Data Protection. Supposons que vous partagez une table BigQuery avec un partenaire externe. Vous voulez vous assurer que cette table ne contient aucun identifiant sensible, par exemple des numéros de sécurité sociale américains (l'infoType US_SOCIAL_SECURITY_NUMBER), et que, si vous en trouvez, l'accès est révoqué pour le partenaire. Voici un exemple de workflow utilisant des actions :
- Créez un déclencheur de tâche Sensitive Data Protection qui lancera une analyse d'inspection de la table BigQuery toutes les 24 heures.
- Définissez l' action suivante pour ces tâches : publier une notification Pub/Sub dans le sujet "projects/foo/scan_notifications".
- Créez une fonction Cloud qui écoute les messages entrants sur "projects/foo/scan_notifications." Cette fonction Cloud reçoit le nom de la tâche Sensitive Data Protection toutes les 24 heures et appelle ensuite Sensitive Data Protection pour obtenir un récapitulatif des résultats de la tâche. Si elle détecte des numéros de sécurité sociale, la fonction Cloud peut modifier des paramètres dans BigQuery ou IAM (Identity and Access Management) pour restreindre l'accès à la table.
Étape suivante
- Découvrez les actions disponibles avec les tâches d'inspection.
- Découvrez les actions disponibles avec les tâches d'analyse des risques jobs.
- Découvrez les actions disponibles avec les opérations de découverte des données sensibles.