本文档介绍了 Sensitive Data Protection 在运行检查作业或风险分析后可以执行的操作。
操作是指 Sensitive Data Protection 在完成检查作业或风险分析后执行的任务。 例如,您可以将发现结果保存到 BigQuery 表中、向 Pub/Sub 主题发布通知,或者在操作成功完成后或因发生错误而停止时发送电子邮件。
敏感数据发现操作具有不同的操作集。如需详细了解发现操作,请参阅启用发现操作。
支持的操作
当您运行 Sensitive Data Protection 作业时,Sensitive Data Protection
会默认保存其发现结果摘要。您可以使用
控制台中的 Google Cloud Sensitive Data Protection 查看此摘要。您
还可以使用
projects.dlpJobs.get
方法检索 DLP API 中的摘要信息。
以下部分介绍了检查作业和风险分析作业可以执行的操作。
将发现结果保存到 BigQuery
将 Sensitive Data Protection 作业结果保存到 BigQuery 表格。在查看或分析结果之前,请先验证作业是否已完成。
每次运行扫描时,Sensitive Data Protection 都会将扫描发现结果保存到您指定的 BigQuery 表中。导出的发现结果包含有关每个发现结果的位置和匹配可能性的详细信息。
如果您希望每个发现结果都包含与 infoType 检测器匹配的字符串,请启用包含引用 选项。引用可能比较敏感,因此默认情况下 Sensitive Data Protection 不会将引用包含在发现结果中。
如果您未指定表 ID,BigQuery 会在首次运行扫描时为新表分配默认名称。该名称类似于
dlpgoogleapisDATE_1234567890,其中
DATE表示运行扫描的日期。如果指定现有的表,Sensitive Data Protection 会将扫描发现结果附加到其中。
将 数据写入 BigQuery 表格时,结算和配额用量将记在 包含目标表的项目名下。
将发现结果保存到 Cloud Storage
将 Sensitive Data Protection 作业结果保存到现有的 Cloud Storage 存储桶或文件夹。在查看或分析结果之前,请先验证作业是否已完成。
如果要检查 Cloud Storage 存储桶,您为导出的发现结果指定的存储桶不得是您要检查的存储桶。
每次运行扫描时,Sensitive Data Protection 都会将扫描发现结果保存到您指定的 Cloud Storage 位置。导出的发现结果包含有关每个发现结果的位置和匹配可能性的详细信息。
如果您希望每个发现结果都包含与 infoType 检测器匹配的字符串,请启用包含引用 选项。引用可能比较敏感,因此默认情况下 Sensitive Data Protection 不会将引用包含在发现结果中。
发现结果以 Protobuf 文本格式导出为
SaveToGcsFindingsOutput
对象。如需了解如何解析此格式的发现结果,请参阅解析
以 Protobuf
文本形式存储的发现结果。
发布到 Pub/Sub
将包含作为属性的 Sensitive Data Protection 作业名称的通知发布到 Pub/Sub 渠道。您可以指定一个或多个主题来发送通知消息。确保运行扫描作业的 Sensitive Data Protection 服务帐号对该主题具有发布权限。
如果 Pub/Sub 主题存在配置或权限问题,Sensitive Data Protection 最多会重试发送 Pub/Sub 通知两周。两周后,通知将被舍弃。
发布到 Security Command Center
将作业结果摘要发布到 Security Command Center。如需了解详情,请参阅 将 Sensitive Data Protection 扫描结果发送到 Security Command Center。
如需使用此操作,您的项目必须属于某个组织,并且必须在组织级激活 Security Command Center。否则,Sensitive Data Protection 发现结果不会显示在 Security Command Center 中。如需了解详情,请参阅检查 Security Command Center的激活级别。
发布到 Knowledge Catalog
将 BigQuery 检查 作业 的结果发送到 Knowledge Catalog。 如需了解详情,请参阅将检查结果作为 方面发送到 Knowledge Catalog。
发布到 Data Catalog
将作业结果发送到 Data Catalog。此功能已 弃用。
通过电子邮件发送通知
作业完成后发送电子邮件。电子邮件将发送给 IAM 项目所有者和技术 重要联系人。
发布到 Cloud Monitoring
将检查结果发送到 Google Cloud Observability 中的 Cloud Monitoring。
制作去标识化副本
对检查的数据中的所有发现结果进行去标识化处理,并将去标识化的内容写入新文件。然后,您可以在业务流程中使用去标识化的副本,而不是包含敏感信息的数据。如需了解详情,请参阅在 控制台中通过 Sensitive Data Protection 创建 Cloud Storage 数据的去标识化副本。Google Cloud
支持的操作
下表显示了 Sensitive Data Protection 操作以及每个操作的可用位置。
| 操作 | BigQuery 检查 | Cloud Storage 检查 | Datastore 检查 | 混合检查 | 风险分析 |
|---|---|---|---|---|---|
| 将发现结果保存到 BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| 将发现结果保存到 Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| 发布到 Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| 发布到 Security Command Center | ✓ | ✓ | ✓ | ||
| 发布到 Knowledge Catalog | ✓ | ||||
| 发布到 Data Catalog (已弃用) | ✓ | ||||
| 通过电子邮件发送通知 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 发布到 Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| 对发现结果进行去标识化处理 | ✓ |
指定操作
您可以在配置作业时指定一项或多项操作:
- 使用 控制台中的 Sensitive Data Protection 创建新的检查作业或风险分析作业时,请在作业创建工作流的 **添加操作** 部分中指定操作。 Google Cloud
- 配置要发送到 DLP API 的新作业请求时,
请在
Action对象中指定操作。
如需了解多种语言的详情和示例代码,请参阅:
示例操作场景
您可以使用 Sensitive Data Protection 操作来基于 Sensitive Data Protection
扫描结果自动执行流程。假设您有一个与外部合作伙伴共享的 BigQuery
表格。您希望确保此表未含任何敏感标识符(如社会保障号 (infoType US_SOCIAL_SECURITY_NUMBER)),以及如果发现任何敏感标识符,就撤消合作伙伴的访问权限。下面简要概述了使用操作的工作流:
- 创建 Sensitive Data Protection 作业 触发器,以便每隔 24 小时针对 BigQuery 表运行一次检查扫描。
- 设置这些作业的 操作 ,以将 Pub/Sub 通知发布到 “projects/foo/scan_notifications”主题。
- 创建 Cloud Functions 函数,用于侦听“projects/foo/scan_notifications”上的传入 消息。此 Cloud Functions 函数会 每隔 24 小时接收一次 Sensitive Data Protection 作业的名称,并调用 Sensitive Data Protection 以获取此作业的摘要结果。如果 找到任何社会保障号,它可以更改 BigQuery 或 Identity and Access Management (IAM) 中的设置来限制 对表格的访问权限。
后续步骤
- 了解通过检查作业可以使用的操作。
- 了解通过风险分析 作业可以使用的操作。
- 了解通过敏感数据发现操作可以使用的操作。