本文說明如何設定 Sensitive Data Protection,偵測內容中的特定中繼資料標籤。
本文中的「中繼資料標籤」是指內嵌在支援檔案中的檔案標籤,或是用戶端應用程式在檢查要求中提供的中繼資料。如果 Sensitive Data Protection 找到符合中繼資料條件的內容,就會產生發現項目。
如要掃描中繼資料標籤,請建立自訂中繼資料標籤 infoType。然後,設定檢查或探索掃描作業,搜尋該 infoType。
優點及用途
這項功能可讓您使用現有的內容分類分類法,檢查內容並執行政策。如果您使用自訂或第三方分類系統,為文件套用中繼資料標籤,可以設定 Sensitive Data Protection,在檢查或探索作業期間偵測這些中繼資料標籤。
應用實例包括:
- 掃描檔案中是否含有特定中繼資料的 Google 雲端硬碟標籤或 Microsoft 敏感度標籤。
- 結合中繼資料標籤偵測與標準 infoType 偵測,採取多層式做法。
- 掃描用戶端應用程式連同內容傳遞的中繼資料,即使中繼資料未嵌入檔案中也一樣。本文將這類中繼資料稱為「用戶端提供的中繼資料」。
- 根據特定中繼資料標籤,使用 Model Armor 清理文件。如要搭配使用這項功能和 Model Armor,或是使用 Model Armor 的服務 (例如 Gemini Enterprise),您必須在 Model Armor 中建立進階的 Sensitive Data Protection 設定,並參照這個自訂中繼資料標籤偵測器。
支援的中繼資料格式
這項功能可偵測下列類型的中繼資料:
- Google 雲端硬碟標籤
下列檔案類型上的 Microsoft 敏感度標籤:
- DOCX
- PPTX
- XLSX
客戶提供的中繼資料
不支援的設定
下列項目不支援自訂中繼資料標籤偵測器:
建立中繼資料標籤偵測器
如要建立中繼資料標籤偵測器,請在 InspectConfig 物件中定義 CustomInfoType。根據要掃描的中繼資料類型,定義下列其中一項:
- 如要掃描 Google 雲端硬碟標籤和 Microsoft 敏感度標籤,請定義
FileLabelInfoType。詳情請參閱本文的「建立中繼資料標籤偵測器,掃描檔案標籤」。 - 如要使用規則運算式掃描自訂鍵/值組合,請定義
MetadataKeyValueExpression。這種類型適合用於用戶端提供的中繼資料。詳情請參閱本文的「建立中繼資料標籤偵測器,掃描鍵值配對」。
建立中繼資料標籤偵測器,掃描檔案標籤
如要掃描 Google 雲端硬碟標籤或 Microsoft 敏感度標籤,請定義具有 FileLabelInfoType 的 CustomInfoType:
{
"inspectConfig": {
"customInfoTypes": [
{
"infoType": {
"name": "CUSTOM_METADATA_LABEL_NAME"
},
"likelihood": "LIKELIHOOD",
"sensitivityScore": {
"score": "SENSITIVITY_SCORE"
},
"fileLabelInfoType": {
"googleDriveLabel": {
"labelId": "LABEL_ID",
"labelFieldsToMatch": [
{
"id": "FIELD_ID",
"value": "FIELD_VALUE"
}
]
},
"sensitivityLabel": {
"guid": "GUID"
}
}
}
]
}
}
更改下列內容:
CUSTOM_METADATA_LABEL_NAME:要指派給自訂 infoType 偵測工具的名稱。LIKELIHOOD:選用。要指派給所有符合這個自訂 infoType 的發現項目的Likelihood值。如果省略這個欄位,預設可能性層級為VERY_LIKELY。SENSITIVITY_SCORE:選用。SensitivityScore,將這個自訂 infoType 指派給所有相符的發現項目。如果省略這個欄位,預設的敏感度分數為HIGH。敏感度分數會用於資料剖析。在分析資料時,Sensitive Data Protection 會使用 infoType 的機密程度分數計算機密程度。
LABEL_ID:選用。要比對的 Google 雲端硬碟標籤 ID。如果只指定LABEL_ID,偵測器會比對套用該 Google 雲端硬碟標籤的任何檔案,不論其欄位值為何。如要比對標籤內的特定欄位值,請加入labelFieldsToMatch物件。FIELD_ID:如果您指定labelFieldsToMatch物件,則為必要欄位。要比對的 Google 雲端硬碟標籤欄位 ID。FIELD_VALUE:如果您指定labelFieldsToMatch物件,則為必要欄位。要比對的 Google 雲端硬碟標籤欄位值。GUID:選用。要比對的 Microsoft 機密程度標籤 GUID。
Google 雲端硬碟標籤的偵測器範例
這個 inspectConfig 範例會定義名為 CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL 的自訂 infoType。這項自訂 infoType 會偵測具有下列特徵的 Google 雲端硬碟標籤:
- 標籤 ID
mydrive-label-id - 該標籤內有一個 ID 為
sensitivity-field-id的欄位,值為confidential。
如果您未在 labelFieldsToMatch 中指定欄位 ID 和值,這個自訂 infoType 會偵測具有 mydrive-label-id 標籤的檔案,無論是否有任何標籤欄位。
{
"inspectConfig": {
"customInfoTypes": [
{
"infoType": {
"name": "CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL"
},
"likelihood": "VERY_LIKELY",
"fileLabelInfoType": {
"googleDriveLabel": {
"labelId": "mydrive-label-id",
"labelFieldsToMatch": [
{
"id": "sensitivity-field-id",
"value": "confidential"
}
]
}
}
}
],
"minLikelihood": "POSSIBLE"
}
}
在檢查工作中,如果使用這項設定,Sensitive Data Protection 發現相符項目時,就會產生 CUSTOM_GOOGLE_DRIVE_LABEL_CONFIDENTIAL 發現項目。
Microsoft 敏感度標籤的偵測器範例
這個 inspectConfig 範例會定義名為 CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL 的自訂 infoType。這個自訂 infoType 會偵測包含 GUID 12345678-9012-3456-7890-123456789012 的 Microsoft 機密程度標籤:
{
"inspectConfig": {
"customInfoTypes": [
{
"infoType": {
"name": "CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL"
},
"likelihood": "VERY_LIKELY",
"fileLabelInfoType": {
"sensitivityLabel": {
"guid": "12345678-9012-3456-7890-123456789012"
}
}
}
],
"minLikelihood": "POSSIBLE"
}
}
在檢查工作中,如果使用這項設定,Sensitive Data Protection 發現相符項目時,就會產生CUSTOM_SENSITIVITY_LABEL_CONFIDENTIAL發現項目。
建立中繼資料標籤偵測工具,掃描自訂鍵值組合
如要使用規則運算式掃描用戶提供的中繼資料,找出自訂鍵值組合,請按照下列步驟操作:
定義具有
MetadataKeyValueExpression的CustomInfoType:{ "inspectConfig": { "customInfoTypes": [ { "infoType": { "name": "CUSTOM_METADATA_LABEL_NAME" }, "likelihood": "LIKELIHOOD", "sensitivityScore": { "score": "SENSITIVITY_SCORE" }, "metadataKeyValueExpression": { "keyRegex": "KEY_REGULAR_EXPRESSION", "valueRegex": "VALUE_REGULAR_EXPRESSION" } } ] } }更改下列內容:
CUSTOM_METADATA_LABEL_NAME:要指派給自訂 infoType 偵測工具的名稱。LIKELIHOOD:選用。要指派給所有符合這個自訂 infoType 的發現項目的Likelihood值。如果省略這個欄位,預設可能性層級為VERY_LIKELY。SENSITIVITY_SCORE:選用。SensitivityScore,將這個自訂 infoType 指派給所有相符的發現項目。如果省略這個欄位,預設的敏感度分數為HIGH。敏感度分數會用於資料剖析。在分析資料時,Sensitive Data Protection 會使用 infoType 的機密程度分數計算機密程度。
KEY_REGULAR_EXPRESSION:用於搜尋中繼資料標籤鍵的規則運算式。VALUE_REGULAR_EXPRESSION:要在中繼資料標籤值中搜尋的規則運算式。
在
content.inspect要求中,於ContentItem的ContentMetadata欄位中指定用戶端提供的中繼資料。
掃描用戶端提供中繼資料的要求範例
以下範例顯示 content.inspect 要求,其中包含 PDF 檔案和用戶端提供的中繼資料。這項要求會使用名為 CUSTOM_METADATA_CLASSIFICATION 的自訂 infoType,掃描標示為「機密」或「內部使用」的檔案。
{
"inspectConfig": {
"customInfoTypes": [
{
"infoType": {
"name": "CUSTOM_METADATA_CLASSIFICATION"
},
"likelihood": "VERY_LIKELY",
"metadataKeyValueExpression": {
"keyRegex": "classification",
"valueRegex": "Confidential|Internal Use"
}
}
]
},
"item": {
"byteItem": {
"type": "PDF",
"data": "BASE64_ENCODED_PDF"
},
"contentMetadata": {
"properties": [
{
"key": "classification",
"value": "Confidential"
}
]
}
}
}
將 BASE64_ENCODED_PDF 替換為要掃描的 Base64 編碼檔案。
如果 Sensitive Data Protection 在內容中找到相符項目,就會產生發現結果。系統會根據比對項目是內嵌在檔案中 (CONTENT_METADATA) 還是由用戶端提供 (CLIENT_PROVIDED_METADATA),填入發現項目的MetadataTypeMetadataLocation。
後續步驟
- 在 Model Armor 中建立進階的 Sensitive Data Protection 設定。