Crie perfis de dados do Cloud SQL numa organização ou numa pasta

Esta página descreve como configurar a deteção de dados do Cloud SQL ao nível de uma organização ou de uma pasta. Se quiser criar um perfil de um projeto, consulte o artigo Criar um perfil de dados do Cloud SQL num único projeto.

Para mais informações sobre o serviço de deteção, consulte o artigo Perfis de dados.

Como funciona

Segue-se um fluxo de trabalho de nível elevado para a criação de perfis de dados do Cloud SQL:

  1. Crie uma configuração de procura.

    Depois de criar uma configuração de análise, a Proteção de dados confidenciais começa a identificar as suas instâncias do Cloud SQL e a criar uma ligação predefinida para cada instância. Dependendo do número de instâncias no âmbito da descoberta, este processo pode demorar algumas horas. Pode sair da Google Cloud consola e verificar as suas ligações mais tarde.

  2. Conceda as funções do IAM necessárias ao agente de serviço associado à configuração da análise.

  3. Quando as ligações predefinidas estiverem prontas, conceda ao Sensitive Data Protection acesso às suas instâncias do Cloud SQL atualizando cada ligação com as credenciais de utilizador da base de dados adequadas. Pode fornecer contas de utilizadores da base de dados existentes ou criar utilizadores da base de dados.

  4. Recomendado: aumente o número máximo de ligações que a Proteção de dados confidenciais pode usar para criar perfis dos seus dados. Aumentar as associações pode acelerar a descoberta.

Serviços suportados

Esta funcionalidade é compatível com o seguinte:

  • Cloud SQL para MySQL
  • Cloud SQL para PostgreSQL

O Cloud SQL para SQL Server não é suportado.

Regiões de tratamento e armazenamento

A proteção de dados confidenciais é um serviço regional e multirregional; não distingue entre zonas. Quando a proteção de dados confidenciais cria um perfil de uma instância do Cloud SQL, os dados são processados na respetiva região atual, mas não necessariamente na respetiva zona atual. Por exemplo, se uma instância do Cloud SQL estiver armazenada na zona us-central1-a, o Sensitive Data Protection processa e armazena os perfis de dados na região us-central1.

Para mais informações, consulte as considerações sobre a residência de dados.

Antes de começar

  1. Confirme que tem as autorizações de IAM necessárias para configurar perfis de dados ao nível da organização.

    Se não tiver a função de administrador da organização (roles/resourcemanager.organizationAdmin) ou administrador de segurança (roles/iam.securityAdmin), ainda pode criar uma configuração de análise. No entanto, depois de criar a configuração da análise, alguém com um desses papéis tem de conceder acesso à criação de perfis de dados ao seu agente de serviço.

  2. Tem de ter um modelo de inspeção em cada região onde tem dados a serem criados perfis. Se quiser usar um único modelo para várias regiões, pode usar um modelo armazenado na região global. Se as políticas organizacionais impedirem a criação de um modelo de inspeção na região global, tem de definir um modelo de inspeção dedicado para cada região. Para mais informações, consulte as considerações sobre a residência de dados.

    Esta tarefa permite-lhe criar um modelo de inspeção apenas na região global. Se precisar de modelos de inspeção dedicados para uma ou mais regiões, tem de criar esses modelos antes de realizar esta tarefa.

  3. Para enviar notificações do Pub/Sub para um tópico quando ocorrem determinados eventos, como quando a Proteção de dados confidenciais cria um perfil de uma nova tabela, crie um tópico do Pub/Sub antes de realizar esta tarefa.

  4. Pode configurar a Proteção de dados confidenciais para anexar automaticamente etiquetas aos seus recursos. Esta funcionalidade permite-lhe conceder condicionalmente acesso a esses recursos com base nos respetivos níveis de sensibilidade calculados. Se quiser usar esta funcionalidade, tem de concluir primeiro as tarefas em Controlar o acesso IAM aos recursos com base na sensibilidade dos dados.

  5. Pode configurar a Proteção de dados confidenciais para anexar automaticamente aspetos aos recursos do Cloud SQL com perfis baseados em estatísticas de deteção. Se quiser usar esta funcionalidade, tem de ativar a integração do catálogo universal na sua instância do Cloud SQL para MySQL ou instância do Cloud SQL para PostgreSQL.

Para gerar perfis de dados, precisa de um contentor de agente de serviço e um agente de serviço no respetivo interior. Esta tarefa permite-lhe criá-los automaticamente.

Crie uma configuração de análise

  1. Aceda à página Criar configuração de análise.

    Aceda a Criar configuração de análise

  2. Aceda à sua organização. Na barra de ferramentas, clique no seletor de projetos e selecione a sua organização.

As secções seguintes fornecem mais informações sobre os passos na página Criar configuração de análise. No final de cada secção, clique em Continuar.

Selecione um tipo de descoberta

Selecione Cloud SQL.

Selecione o âmbito

Efetue um dos seguintes passos:

  • Para configurar a criação de perfis ao nível da organização, selecione Analisar toda a organização.
  • Para configurar a criação de perfis ao nível de uma pasta, selecione Analisar pasta selecionada. Clique em Procurar e selecione a pasta.

Gerir horários

Se a frequência de criação de perfis predefinida for adequada às suas necessidades, pode ignorar esta secção da página Criar configuração de análise.

Configure esta secção pelos seguintes motivos:

  • Para fazer ajustes detalhados à frequência de criação de perfis de todos os seus dados ou de determinados subconjuntos dos seus dados.
  • Para especificar as tabelas que não quer criar perfis.
  • Para especificar as tabelas que não quer que sejam analisadas mais do que uma vez.

Para fazer ajustes detalhados à frequência da criação de perfis, siga estes passos:

  1. Clique em Adicionar programação.

  2. Na secção Filtros, define um ou mais filtros que especificam que tabelas estão no âmbito da programação. Uma tabela é considerada no âmbito da programação se corresponder a, pelo menos, um dos filtros definidos.

    Para configurar um filtro, especifique, pelo menos, um dos seguintes elementos:

    • Um ID do projeto ou uma expressão regular que especifica um ou mais projetos.
    • Um ID de instância ou uma expressão regular que especifica uma ou mais instâncias.
    • Um ID da base de dados ou uma expressão regular que especifica uma ou mais bases de dados.
    • Um ID da tabela ou uma expressão regular que especifica uma ou mais tabelas. Introduza este valor no campo Nome do recurso da base de dados ou expressão regular.

    As expressões regulares têm de seguir a sintaxe RE2.

    Por exemplo, se quiser que todas as tabelas numa base de dados sejam incluídas no filtro, introduza o ID da base de dados no campo ID da base de dados.

    Para corresponder a um filtro, uma tabela tem de cumprir todas as expressões regulares especificadas nesse filtro.

    Se quiser adicionar mais filtros, clique em Adicionar filtro e repita este passo.

  3. Clique em Frequência.

  4. Na secção Frequência, especifique se o serviço de deteção deve criar perfis das tabelas selecionadas e, em caso afirmativo, com que frequência:

    • Se nunca quiser que as tabelas sejam analisadas, desative a opção Analisa estes dados.

    • Se quiser que as tabelas sejam analisadas pelo menos uma vez, mantenha a opção Analisar estes dados ativada.

      Nos campos seguintes desta secção, especifica se o sistema deve voltar a criar perfis dos seus dados e que eventos devem acionar uma operação de recriação de perfis. Para mais informações, consulte o artigo Frequência de geração do perfil de dados.

      1. Para Num agendamento, especifique a frequência com que quer que os perfis das tabelas sejam refeitos. As tabelas são redefinidas, independentemente de terem sofrido alterações.
      2. Para Quando o esquema muda, especifique a frequência com que a proteção de dados confidenciais deve verificar se as tabelas selecionadas sofreram alterações ao esquema após a última criação de perfis. Apenas as tabelas com alterações de esquema são redefinidas.
      3. Para Tipos de alteração do esquema, especifique que tipos de alterações do esquema devem acionar uma operação de nova criação de perfis. Selecione uma das seguintes opções:
        • Novas colunas: refaça o perfil das tabelas que ganharam novas colunas.
        • Colunas removidas: refaça o perfil das tabelas que tinham colunas removidas.

        Por exemplo, suponhamos que tem tabelas que ganham novas colunas todos os dias e precisa de criar perfis dos respetivos conteúdos sempre que isso acontece. Pode definir Quando o esquema muda como Voltar a criar perfil diariamente e definir Tipos de alterações ao esquema como Novas colunas.

      4. Para Quando inspecionar alterações ao modelo, especifique se quer que os seus dados sejam redefinidos quando o modelo de inspeção associado for atualizado e, se for o caso, com que frequência.

        É detetada uma alteração ao modelo de inspeção quando ocorre uma das seguintes situações:

        • O nome de um modelo de inspeção é alterado na configuração da análise.
        • O updateTime de um modelo de inspeção é alterado.

        5. Por exemplo, se definir um modelo de inspeção para a região us-west1 e atualizar esse modelo de inspeção, apenas os dados na região us-west1 vão ser redefinidos.

  5. Clique em Condições.

    Na secção Condições, especifica os tipos de recursos da base de dados que quer criar perfis. Por predefinição, a proteção de dados confidenciais está definida para criar perfis de todos os tipos de recursos de bases de dados suportados. Quando a proteção de dados confidenciais adicionar suporte para mais tipos de recursos de base de dados, esses tipos também vão ser perfilados automaticamente.

  6. Opcional: se quiser definir explicitamente os tipos de recursos da base de dados que quer criar perfis, siga estes passos:

    1. Clique no campo Tipos de recursos de base de dados.
    2. Selecione os tipos de recursos de base de dados que quer criar perfis.

    Se a proteção de dados confidenciais adicionar posteriormente suporte de deteção para mais tipos de recursos de base de dados do Cloud SQL, esses tipos só são perfilados se voltar a esta lista e os selecionar.

  7. Clique em Concluído.

  8. Opcional: para adicionar mais programações, clique em Adicionar programação e repita os passos anteriores.

  9. Para especificar a precedência entre horários, reordene-os com as setas para cima e para baixo.

    A ordem dos horários especifica como os conflitos entre horários são resolvidos. Se uma tabela corresponder aos filtros de dois horários diferentes, o horário mais acima na lista de horários determina a frequência da criação de perfis para essa tabela.

  10. Opcional: edite ou desative a Programação geral.

    O último horário na lista é o horário geral. Esta programação abrange as tabelas no âmbito selecionado que não correspondem a nenhuma das programações que criou. A programação geral segue a frequência de criação de perfis predefinida do sistema.

    • Para ajustar a programação geral, clique em Editar programação e, de seguida, ajuste as definições conforme necessário.
    • Para impedir que a proteção de dados confidenciais crie perfis de recursos cobertos pela programação geral, desative a opção Criar perfis dos recursos que não correspondem a nenhuma programação personalizada.

Selecione o modelo de inspeção

Dependendo da forma como quer fornecer uma configuração de inspeção, escolha uma das seguintes opções. Independentemente da opção escolhida, a Proteção de dados confidenciais analisa os seus dados na região onde esses dados estão armazenados. Ou seja, os seus dados não saem da respetiva região de origem.

Opção 1: crie um modelo de inspeção

Escolha esta opção se quiser criar um novo modelo de inspeção na região global.

  1. Clique em Criar novo modelo de inspeção.

  2. Opcional: para modificar a seleção predefinida de infoTypes, clique em Gerir infoTypes.

    Para mais informações sobre como gerir infoTypes incorporados e personalizados, consulte o artigo Faça a gestão de infoTypes através da Google Cloud consola.

    Tem de ter, pelo menos, um infoType selecionado para continuar.

  3. Opcional: configure ainda mais o modelo de inspeção adicionando conjuntos de regras e definindo um limite de confiança. Para mais informações, consulte o artigo Configure a deteção.

Quando a proteção de dados confidenciais cria a configuração da análise, armazena este novo modelo de inspeção na região global.

Opção 2: use um modelo de inspeção existente

Escolha esta opção se tiver modelos de inspeção existentes que queira usar.

  1. Clique em Selecionar modelo de inspeção existente.
  2. Introduza o nome completo do recurso do modelo de inspeção que quer usar. O campo Região é preenchido automaticamente com o nome da região onde o modelo de inspeção está armazenado.

    O modelo de inspeção que introduzir tem de estar na mesma região que os dados a serem perfilados.

    Para respeitar a residência de dados, a Proteção de dados confidenciais não usa um modelo de inspeção fora da região onde esse modelo está armazenado.

    Para encontrar o nome completo do recurso de um modelo de inspeção, siga estes passos:

    1. Aceda à lista de modelos de inspeção. Esta página é aberta num separador separado.

      Aceda aos modelos de inspeção

    2. Selecione o projeto que contém o modelo de inspeção que quer usar.
    3. Selecione Configuração > Modelos > Inspeção, e, de seguida, clique no ID do modelo que quer usar.
    4. Na página aberta, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato: 
      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Na página Criar configuração de análise, no campo Nome do modelo, cole o nome completo do recurso do modelo.
  3. Para adicionar um modelo de inspeção para outra região, clique em Adicionar modelo de inspeção e introduza o nome completo do recurso do modelo. Repita este processo para cada região onde tem um modelo de inspeção dedicado.
  4. Opcional: adicione um modelo de inspeção armazenado na região global. A proteção de dados confidenciais usa automaticamente esse modelo para dados em regiões onde não tem um modelo de inspeção dedicado.

Adicione ações

Esta secção descreve como especificar as ações que quer que a Proteção de dados confidenciais execute após a criação de perfis de uma tabela. Estas ações são úteis se quiser enviar estatísticas recolhidas a partir de perfis de dados para outros serviçosGoogle Cloud .

Publique no Google Security Operations

As métricas recolhidas a partir de perfis de dados podem adicionar contexto às suas conclusões do Google Security Operations. O contexto adicionado pode ajudar a determinar os problemas de segurança mais importantes a resolver.

Por exemplo, se estiver a investigar um agente de serviço específico, o Google Security Operations pode determinar a que recursos o agente de serviço acedeu e se algum desses recursos tem dados de alta sensibilidade.

Para enviar os seus perfis de dados para a instância do Google Security Operations, ative a opção Publicar no Google Security Operations.

Se não tiver uma instância do Google Security Operations ativada para a sua organização, através do produto autónomo ou do Security Command Center Enterprise, a ativação desta opção não tem qualquer efeito.

Publicação no Security Command Center

As conclusões dos perfis de dados fornecem contexto quando tria e desenvolve planos de resposta para as conclusões de vulnerabilidades e ameaças no Security Command Center.

Antes de poder usar esta ação, o Security Command Center tem de ser ativado ao nível da organização. A ativação do Security Command Center ao nível da organização permite o fluxo de resultados de serviços integrados, como o Sensitive Data Protection. A proteção de dados confidenciais funciona com o Security Command Center em todos os níveis de serviço.

Se o Security Command Center não estiver ativado ao nível da organização, as conclusões da Proteção de dados confidenciais não são apresentadas no Security Command Center. Para mais informações, consulte o artigo Verifique o nível de ativação do Security Command Center.

Para enviar os resultados dos seus perfis de dados para o Security Command Center, certifique-se de que a opção Publicar no Security Command Center está ativada.

Para mais informações, consulte o artigo Publique perfis de dados no Security Command Center.

Guarde cópias dos perfis de dados no BigQuery

A proteção de dados confidenciais guarda uma cópia de cada perfil de dados gerado numa tabela do BigQuery. Se não fornecer os detalhes da sua tabela preferencial, a proteção de dados confidenciais cria um conjunto de dados e uma tabela no contentor do agente do serviço. Por predefinição, o conjunto de dados chama-se sensitive_data_protection_discovery e a tabela chama-se discovery_profiles.

Esta ação permite-lhe manter um histórico de todos os perfis gerados. Este histórico pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também pode carregar estas informações noutros sistemas.

Além disso, esta opção permite-lhe ver todos os seus perfis de dados numa única vista, independentemente da região em que os seus dados residem. Embora também possa ver os perfis de dados através da Google Cloud consola, a consola apresenta os perfis apenas numa região de cada vez.

Quando a proteção de dados confidenciais não consegue criar um perfil de uma tabela, tenta novamente periodicamente. Para minimizar o ruído nos dados exportados, a proteção de dados confidenciais exporta apenas os perfis gerados com êxito para o BigQuery.

A proteção de dados confidenciais começa a exportar perfis a partir do momento em que ativa esta opção. Os perfis gerados antes de ativar a exportação não são guardados no BigQuery.

Para ver exemplos de consultas que pode usar ao analisar perfis de dados, consulte o artigo Analise perfis de dados.

Guarde os resultados da deteção de amostras no BigQuery

A proteção de dados confidenciais pode adicionar resultados de amostra a uma tabela do BigQuery à sua escolha. Os resultados de amostra representam um subconjunto de todos os resultados e podem não representar todos os infoTypes que foram descobertos. Normalmente, o sistema gera cerca de 10 resultados de amostra por tabela, mas este número pode variar para cada execução de deteção.

Cada descoberta inclui a string real (também denominada citação) que foi detetada e a respetiva localização exata.

Esta ação é útil se quiser avaliar se a sua configuração de inspeção está a fazer corresponder corretamente o tipo de informações que quer sinalizar como confidenciais. Com os perfis de dados exportados e os resultados de amostra exportados, pode executar consultas para obter mais informações acerca dos itens específicos que foram denunciados, os infoTypes que corresponderam, as respetivas localizações exatas, os respetivos níveis de sensibilidade calculados e outros detalhes.

Este exemplo requer que as opções Guardar cópias do perfil de dados no BigQuery e Guardar resultados da deteção de amostras no BigQuery estejam ativadas.

A consulta seguinte usa uma operação INNER JOIN na tabela de perfis de dados exportados e na tabela de resultados de amostra exportados. Na tabela resultante, cada registo mostra a citação da descoberta, o infoType que correspondeu, o recurso que contém a descoberta e o nível de sensibilidade calculado do recurso. 

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

Para guardar resultados de exemplo numa tabela do BigQuery, siga estes passos:

  1. Ative a opção Guardar resultados da descoberta de amostras no BigQuery.

  2. Introduza os detalhes da tabela do BigQuery onde quer guardar as conclusões de amostra.

    A tabela que especificar para esta ação tem de ser diferente da tabela usada para a ação Guardar cópias do perfil de dados no BigQuery.

    • Para o ID do projeto, introduza o ID de um projeto existente para o qual quer exportar as conclusões.

    • Para ID do conjunto de dados, introduza o nome de um conjunto de dados existente no projeto.

    • Para ID da tabela, introduza o nome da tabela do BigQuery onde quer guardar as conclusões. Se esta tabela não existir, a proteção de dados confidenciais cria-a automaticamente para si com o nome que indicar.

Para obter informações sobre o conteúdo de cada descoberta guardada na tabela do BigQuery, consulte DataProfileFinding.

Anexe etiquetas a recursos

A ativação da opção Anexar etiquetas a recursos indica ao Sensitive Data Protection que etiquete automaticamente os seus dados de acordo com o respetivo nível de sensibilidade calculado. Esta secção requer que conclua primeiro as tarefas em Controlar o acesso à IAM aos recursos com base na sensibilidade dos dados.

Para etiquetar automaticamente um recurso de acordo com o respetivo nível de sensibilidade calculado, siga estes passos:

  1. Ative a opção Etiquetar recursos.

  2. Para cada nível de sensibilidade (elevado, moderado, baixo e desconhecido), introduza o caminho do valor da etiqueta que criou para o nível de sensibilidade indicado.

    Se ignorar um nível de sensibilidade, não é anexada nenhuma etiqueta ao mesmo.

  3. Para diminuir automaticamente o nível de risco de dados de um recurso quando a etiqueta de nível de sensibilidade estiver presente, selecione Quando uma etiqueta é aplicada a um recurso, diminua o risco de dados do respetivo perfil para BAIXO. Esta opção ajuda a medir a melhoria na sua postura de segurança e privacidade dos dados.

  4. Selecione uma ou ambas as seguintes opções:

    • Etiquete um recurso quando este for perfilado pela primeira vez.

    • Etiquete um recurso quando o respetivo perfil for atualizado. Selecione esta opção se quiser que a proteção de dados confidenciais substitua o valor da etiqueta do nível de sensibilidade nas execuções de deteção subsequentes. Consequentemente, o acesso de um principal a um recurso é alterado automaticamente à medida que o nível de sensibilidade dos dados calculado para esse recurso aumenta ou diminui.

      Não selecione esta opção se planear atualizar manualmente os valores das etiquetas de nível de sensibilidade que o serviço de deteção anexou aos seus recursos. Se selecionar esta opção, a Proteção de dados confidenciais pode substituir as suas atualizações manuais.

Publicar no Pub/Sub

A ativação da opção Publicar no Pub/Sub permite-lhe tomar medidas programáticas com base nos resultados da criação de perfis. Pode usar notificações do Pub/Sub para desenvolver um fluxo de trabalho para detetar e corrigir resultados com um risco ou uma sensibilidade de dados significativos.

Para enviar notificações para um tópico do Pub/Sub, siga estes passos:

  1. Ative a opção Publicar no Pub/Sub.

    É apresentada uma lista de opções. Cada opção descreve um evento que faz com que a proteção de dados confidenciais envie uma notificação para o Pub/Sub.

  2. Selecione os eventos que devem acionar uma notificação do Pub/Sub.

    Se selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, a Proteção de dados confidenciais envia uma notificação quando existe uma alteração no nível de sensibilidade, no nível de risco de dados, nos infoTypes detetados, no acesso público e noutras métricas importantes no perfil.

  3. Para cada evento que selecionar, siga estes passos:

    1. Introduza o nome do tópico. O nome tem de estar no seguinte formato:

      projects/PROJECT_ID/topics/TOPIC_ID

      Substitua o seguinte:

      • PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
      • TOPIC_ID: o ID do tópico do Pub/Sub.

    2. Especifique se quer incluir o perfil completo da tabela na notificação ou apenas o nome completo do recurso da tabela que foi analisada.

    3. Defina os níveis de risco e sensibilidade dos dados mínimos que têm de ser cumpridos para que a proteção de dados confidenciais envie uma notificação.

    4. Especifique se apenas uma ou ambas as condições de risco e sensibilidade dos dados têm de ser cumpridas. Por exemplo, se escolher AND, as condições de risco de dados e de sensibilidade têm de ser cumpridas antes que a Proteção de dados confidenciais envie uma notificação.

Envie para o Dataplex Universal Catalog como aspetos

Esta ação permite-lhe adicionar aspetos do Dataplex Universal Catalog a tabelas com perfis com base em estatísticas de perfis de dados. Esta ação só é aplicada a perfis novos e atualizados. Os perfis existentes que não são atualizados não são enviados para o Dataplex Universal Catalog.

Quando ativa esta ação, a proteção de dados confidenciais anexa o aspeto Sensitive Data Protection profile à entrada do catálogo universal do Dataplex para cada tabela nova ou atualizada que perfila. Os aspetos gerados contêm estatísticas recolhidas a partir dos perfis de dados. Em seguida, pode pesquisar na sua organização e projetos entradas com valores de aspeto Sensitive Data Protection profile específicos.

Para enviar os perfis de dados para o Dataplex Universal Catalog, certifique-se de que a opção Enviar para o catálogo do Dataplex como aspetos está ativada.

Para mais informações, consulte o artigo Adicione aspetos do Dataplex Universal Catalog com base em estatísticas dos perfis de dados.

Faça a gestão do contentor do agente de serviço e da faturação

Nesta secção, especifica o projeto a usar como um contentor do agente de serviço. Pode fazer com que a Proteção de dados confidenciais crie automaticamente um novo projeto ou escolher um projeto existente.

Independentemente de estar a usar um agente de serviço recém-criado ou a reutilizar um existente, certifique-se de que tem acesso de leitura aos dados a serem perfilados.

Crie automaticamente um projeto

Se não tiver as autorizações necessárias para criar um projeto na organização, tem de selecionar um projeto existente ou obter as autorizações necessárias. Para obter informações sobre as autorizações necessárias, consulte o artigo Funções necessárias para trabalhar com perfis de dados ao nível da organização ou da pasta.

Para criar automaticamente um projeto para usar como contentor do agente de serviço, siga estes passos:

  1. No campo Recipiente do agente de serviço, reveja o ID do projeto sugerido e edite-o conforme necessário.
  2. Clique em Criar.
  3. Opcional: atualize o nome do projeto predefinido.

  4. Selecione a conta a faturar por todas as operações faturáveis relacionadas com este novo projeto, incluindo operações que não estão relacionadas com a deteção.

  5. Clique em Criar.

A Proteção de dados confidenciais cria o novo projeto. O agente de serviço neste projeto vai ser usado para autenticar no serviço de proteção de dados sensíveis e noutras APIs.

Selecione um projeto existente

Para selecionar um projeto existente como contentor do agente de serviço, clique no campo Contentor do agente de serviço e selecione o projeto.

Defina a localização para armazenar a configuração

Clique na lista Localização do recurso e selecione a região onde quer armazenar esta configuração de análise. Todas as configurações de análise que criar posteriormente também são armazenadas nesta localização.

O local onde optar por armazenar a configuração da análise não afeta os dados a serem analisados. Os seus dados são analisados na mesma região onde são armazenados. Para mais informações, consulte as Considerações sobre a residência de dados.

Verifique e crie

  1. Se quiser certificar-se de que a criação de perfis não é iniciada automaticamente depois de criar a configuração de análise, selecione Criar análise no modo pausado.

    Esta opção é útil nos seguintes casos:

    • O seu Google Cloud administrador continua a ter de conceder acesso à análise de perfis de dados ao agente de serviço.
    • Quiser criar várias configurações de análise e quiser que algumas configurações substituam outras.
    • Optou por guardar perfis de dados no BigQuery e quer certificar-se de que o agente de serviço tem acesso de escrita à tabela do BigQuery onde as cópias dos perfis de dados vão ser guardadas.
    • Optou por guardar as conclusões de deteção de amostras no BigQuery e quer certificar-se de que o agente de serviço tem acesso de escrita à tabela do BigQuery onde as conclusões de amostras vão ser guardadas.
    • Configurou notificações do Pub/Sub e quer conceder acesso de publicação ao agente do serviço.
    • Ativou a ação Anexar etiquetas a recursos e tem de conceder ao agente de serviço acesso à etiqueta de nível de sensibilidade.
  2. Reveja as definições e clique em Criar.

    A proteção de dados confidenciais cria a configuração de análise e adiciona-a à lista de configurações de análise de deteção.

Para ver ou gerir as configurações de análise, consulte o artigo Gerir configurações de análise.

A Proteção de dados confidenciais começa a identificar as suas instâncias do Cloud SQL e a criar uma associação predefinida para cada instância. Consoante o número de instâncias no âmbito da deteção, este processo pode demorar algumas horas. Pode sair da Google Cloud consola e verificar as suas ligações mais tarde.

Quando as associações predefinidas estiverem prontas, atualize-as com as credenciais de utilizador da base de dados que quer que a proteção de dados confidenciais use para criar perfis das suas instâncias do Cloud SQL. Para mais informações, consulte o artigo Gerir ligações para utilização com a descoberta.

O que se segue?

Saiba como atualizar as suas associações.