Sensitive Data Protection 操作是在操作成功完成后或电子邮件发生错误时出现的情况。例如,您可以 将发现结果保存到 BigQuery 表、向 Pub/Sub 主题,或者在操作完成时发送电子邮件 或因出错而停止。
支持的操作
当您运行敏感数据保护作业时,该作业会通过以下方式保存其发现结果的摘要:
敏感数据保护中的默认设置。您可以通过
Google Cloud 控制台中的 Sensitive Data Protection。对于作业,您还可以使用 projects.dlpJobs.get 方法在 DLP API 中检索摘要信息。
Sensitive Data Protection 支持不同类型的操作,具体取决于应用类型 运行状态。支持的操作如下。
将发现结果保存到 BigQuery
将 Sensitive Data Protection 作业结果保存到 BigQuery 表。在查看或分析 结果,请先确保作业已完成。
每次运行扫描时,Sensitive Data Protection 都会将扫描发现结果保存到 您指定的 BigQuery 表。导出的结果包含有关每个结果的位置和匹配可能性的详细信息。如果您希望每个发现结果都包含与 infoType 检测器匹配的字符串,请启用添加引号选项。
如果您未指定表 ID,BigQuery 会在首次运行扫描时为新表分配默认名称。如果您指定现有表,则 Sensitive Data Protection 将扫描结果附加到其中。
将数据写入 BigQuery 表时,结算和配额用量将应用于包含目标表的项目。
如果您未将发现结果保存到 BigQuery,扫描结果将仅包含有关发现结果数量和 infoType 的统计信息。
发布到 Pub/Sub
发布包含 Sensitive Data Protection 名称的通知 属性 Pub/Sub 渠道。您 可以指定一个或多个要向其发送通知消息的主题。确保运行扫描作业的 Sensitive Data Protection 服务账号对相应主题具有发布权限。
如果 Pub/Sub 主题存在配置或权限问题, Sensitive Data Protection 最多会重新尝试发送 Pub/Sub 通知 两个星期。两周后,该通知将被舍弃。
发布到 Security Command Center
将作业结果摘要发布到 Security Command Center。有关 请参阅 将 Sensitive Data Protection 扫描结果发送到 Security Command Center。
发布到 Dataplex
将作业结果发送到 Google Cloud 的元数据管理服务 Dataplex。
通过电子邮件发送通知
作业完成后发送电子邮件。该电子邮件会发送给 IAM 项目所有者和技术重要联系人。
发布到 Cloud Monitoring
将检查结果发送到 Google Cloud Observability 中的 Cloud Monitoring。
制作去标识化副本
对被检查数据中的所有发现结果进行去标识化处理,并将去标识化内容写入新文件。然后,您可以在业务流程中使用去标识化副本,而不是包含敏感信息的数据。如需了解详情,请参阅在 Google Cloud 控制台中使用 Sensitive Data Protection 创建 Cloud Storage 数据的去标识化副本。
支持的操作
下表显示了敏感数据保护操作以及每项操作的位置 是否可用。
| 操作 | BigQuery 检查 | Cloud Storage 检查 | Datastore 检查 | 混合检查 | 风险分析 | 发现(数据分析) |
|---|---|---|---|---|---|---|
| 发布到 Google Security Operations | ✓ | |||||
| 将发现结果保存到 BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 发布到 Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 发布到 Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
| 发布到 Dataplex (Data Catalog) | ✓ | ✓ | ||||
| 通过电子邮件发送通知 | ✓ | ✓ | ✓ | ✓ | ✓ | |
| 发布到 Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
| 对发现结果进行去标识化处理 | ✓ |
指定操作
您可以在配置敏感数据保护功能时指定一项或多项操作:
- 当您使用以下命令创建新的检查或风险分析作业时: Google Cloud 控制台中的 Sensitive Data Protection,请在以下位置指定操作: 作业创建工作流的添加操作部分。
- 配置要发送到 DLP API 的新作业请求时,请在
Action对象中指定操作。
如需了解多种语言的详情和示例代码,请参阅:
示例操作场景
您可以使用 Sensitive Data Protection 操作来基于 Sensitive Data Protection 扫描结果自动执行流程。假设您有一个与外部合作伙伴共享的 BigQuery 表格。您希望确保此表未含任何敏感标识符(如社会保障号 (infoType US_SOCIAL_SECURITY_NUMBER)),以及如果发现任何敏感标识符,就撤消合作伙伴的访问权限。下面简要概述了使用操作的工作流:
- 创建敏感数据保护作业 触发器运行针对 每 24 小时发送一次 BigQuery 表。
- 设置这些作业的操作,以将 Pub/Sub 通知发布到“projects/foo/scan_notificationss”主题。
- 创建 Cloud Functions 函数,用于侦听“projects/foo/scan_notifications”上的传入消息。此 Cloud Functions 函数 每 24 小时接收 Sensitive Data Protection 作业的名称,调用 敏感数据保护,以获取此作业的摘要结果,以及 如果发现任何社会保障号,它可以在以下位置更改设置: 使用 BigQuery 或 Identity and Access Management (IAM) 限制访问权限 。
后续步骤
- 了解通过检查作业可以使用的操作。
- 了解通过风险分析作业可以使用的操作。