搭配 Cloud Data Fusion 使用 Sensitive Data Protection

本指南說明如何搭配使用 Sensitive Data Protection 和 Cloud Data Fusion。

Cloud Data Fusion 提供 Sensitive Data Protection 外掛程式，內含三種轉換作業，可篩選、遮蓋或解密機密資料：

• PII 篩選器轉換可讓您從輸入資料串流篩選機密記錄。

• 「遮蓋」轉換可讓您轉換機密資料，例如遮蓋或加密資料。

• 「解密」轉換可讓您解密先前使用「遮蓋」轉換加密的機密資料，

費用

在本文件中，您會使用 Google Cloud的下列計費元件：

• Cloud Data Fusion
• Sensitive Data Protection

如要根據預測用量估算費用，請使用 Pricing Calculator。

事前準備

1. 在 Google Cloud 控制台中，前往專案選取器頁面，然後選取或建立專案。

   前往專案選取器

2. 為專案啟用 Cloud Data Fusion API。

   啟用 Cloud Data Fusion API

3. 為專案啟用 DLP API (屬於機密資料保護服務)。

   啟用 DLP API

4. 建立 Cloud Data Fusion 執行個體。

授予 Sensitive Data Protection 權限

1. 前往 Google Cloud 控制台的「IAM」頁面。

   前往「IAM」頁面

2. 在權限資料表的「主體」欄中，選取下列其中一個服務帳戶：

   1. 如要取得執行階段資源的權限，請選取 Dataproc 叢集使用的服務帳戶。預設值為 Compute Engine 服務帳戶，基於安全考量，不建議使用這個帳戶

   2. 如要在 Cloud Data Fusion 中使用 Wrangler 或預覽功能時取得資源權限 (而非在執行階段)，請選取符合下列格式的服務帳戶：service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com。

   

3. 按一下服務帳戶右側的鉛筆圖示。

4. 按一下 [Add another role] (新增其他角色)。

5. 按一下隨即顯示的下拉式選單。

6. 使用搜尋列搜尋並選取「DLP 管理員」。

   

7. 按一下 [儲存]。確認「角色」欄中顯示「資料遺失防護管理員」。

   

部署 Sensitive Data Protection 外掛程式

1. 前往執行個體：

   1. 在 Google Cloud 控制台中，前往 Cloud Data Fusion 頁面。

   2. 如要在 Cloud Data Fusion Studio 中開啟執行個體，請依序按一下「Instances」和「View instance」。

      前往「Instances」(執行個體)

2. 在 Cloud Data Fusion 網頁使用者介面中，按一下右上方的「Hub」。

3. 按一下「資料遺失防護」外掛程式。

4. 按一下 [Deploy] (部署)。

5. 按一下「完成」。

6. 按一下「建立管道」。

   

使用 PII 篩選器轉換

這項轉換會將敏感記錄與非敏感記錄分開。如果記錄符合您在機密資料保護範本中定義的條件，就會視為機密資料。舉例來說，建立範本時，您可以將機密資料定義為信用卡資訊或身分證字號。

1. 建立機密資料保護檢查範本。

2. 在 Cloud Data Fusion 中開啟管道，然後依序點按「Studio」>「Transform」。

   

3. 按一下「PII Filter」轉換。

4. 將游標懸停在「PII Filter」(PII 篩選器) 節點上，然後按一下「Properties」(屬性)。

5. 在「篩選依據」下方，選擇要篩選記錄或欄位。

   為遵守敏感資料保護限制，如果記錄超過 0.5 MB，Cloud Data Fusion 管道就會失敗。為避免發生這類失敗情況，請改為依欄位篩選，而非依記錄篩選。

6. 在「範本 ID」下方，輸入您建立的 Sensitive Data Protection 範本範本 ID。

7. 在「錯誤處理」下方，定義管道遇到機密資料時的處理方式。選擇下列其中一個錯誤處理選項：

   • 停止管道：一遇到錯誤就停止管道。
   • 略過記錄：略過導致錯誤的記錄。管道會繼續執行，且不會回報任何錯誤。
   • 傳送至錯誤：將錯誤傳送至錯誤埠。管道會繼續執行。

8. 按一下「X」X按鈕。

使用「遮蓋」轉換

這項轉換會識別輸入串流中的機密記錄，並對這些記錄套用您定義的轉換。如果記錄符合您選擇的預先定義 Sensitive Data Protection 篩選器，或是您定義的自訂範本，就會視為機密記錄。

1. 在 Cloud Data Fusion 網頁版 UI 的「Studio」頁面中，按一下展開「Transform」選單。

   

2. 按一下「遮蓋」轉換。

3. 將游標懸停在「Redact」(遮蓋) 節點上，然後按一下「Properties」(屬性)。

4. 選擇要將轉換套用至預先定義的篩選器，還是自行建立篩選器。

   這兩個選項無法同時使用。你可以使用預先定義的篩選器，也可以建立自訂範本。

   預先定義的篩選器

   如要對預先定義的篩選器套用轉換，請將「自訂範本」設為「否」，然後在「比對」下方定義規則：

   1. 按一下「套用」下方的下拉式選單，然後選擇轉換方式。 如要進一步瞭解可用的轉換，請參閱外掛程式「說明文件」分頁的「說明」部分。

   2. 按一下「開啟」，然後點選下拉式選單並選擇類別。類別是一組預先定義的資訊保護篩選器，會依類型分組。如要查看提供的完整類別清單，以及這些類別包含的篩選器，請參閱外掛程式「Documentation」(說明文件) 分頁中的「DLP Filter Mapping」(資料遺失防護篩選器對應) 一節。

   如要設定多項比對規則，請按一下「+」按鈕。

   

   自訂範本

   如要根據自訂範本套用轉換，請將「Custom Template」(自訂範本) 設為「Yes」(是)。

   1. 建立自訂的機密資料保護範本。

   2. 返回 Cloud Data Fusion 網頁版 UI，在「Redact properties」(遮蓋屬性) 選單的「Template ID」(範本 ID) 下方，輸入您建立的自訂範本範本 ID。

   

5. 按一下「X」X按鈕。

使用「解密」轉換

這項轉換會找出輸入串流中以 Sensitive Data Protection 加密的記錄，並套用解密作業。只有使用可逆演算法 (例如格式保留加密或確定性加密) 加密的記錄才能解密。

1. 在 Cloud Data Fusion 網頁版 UI 的「Studio」頁面中，按一下展開「Transform」選單。

   

2. 按一下「Decrypt」(解密) 轉換。

3. 將游標懸停在「Decrypt」(解密) 節點上，然後按一下「Properties」(屬性)。

4. 輸入用於設定 Redact 外掛程式的相同值，該外掛程式會加密這項資料。這個外掛程式的屬性與「Redact」外掛程式相同。

   

5. 按一下「X」X按鈕。

後續步驟

• 請參閱這篇教學文章，瞭解如何遮蓋使用者私密資料。
• 進一步瞭解 Sensitive Data Protection。