액션

Cloud DLP(Data Loss Prevention)에서 액션은 DLP 작업이 성공적으로 완료된 후 수행되는 것을 의미합니다. Cloud DLP는 두 가지 유형의 액션을 지원합니다.

  • DLP 스캔 작업 결과를 BigQuery에 저장: DLP 스캔 결과를 저장할 테이블을 지정할 수 있습니다. 결과를 보거나 분석하기 전에 먼저 작업이 완료되었는지 확인해야 합니다.
  • DLP 스캔 작업을 Pub/Sub 채널에 게시: DLP 스캔 작업을 실행하는 Cloud DLP 서비스 계정에 게시 액세스 권한을 부여했다면 알림 메시지를 전송할 채널을 지정할 수 있습니다. 알림 메시지에는 DLP 스캔 작업의 이름이 속성으로 포함됩니다.

액션 시나리오 예시

Cloud DLP 액션을 사용하여 Cloud DLP 스캔 결과를 기준으로 프로세스를 자동화할 수 있습니다. 외부 파트너와 공유한 BigQuery 테이블이 있다고 가정해 보겠습니다. 여기서 (1) 이 테이블에 주민등록번호(infoType US_SOCIAL_SECURITY_NUMBER)와 같은 민감한 식별자가 포함되지 않았으며, (2) 그러한 정보를 발견하는 경우 파트너의 액세스 권한이 취소되도록 하려고 합니다. 액션을 사용하는 대략적인 워크플로는 다음과 같습니다.

  1. Cloud DLP 작업 트리거를 생성하여 24시간마다 BigQuery 테이블 검사 스캔을 실행합니다.
  2. 'projects/foo/scan_notifications' 주제에 Pub/Sub 알림을 게시하도록 이러한 작업의 액션을 설정합니다.
  3. 'projects/foo/scan_notifications'에서 수신 메시지를 대기하는 Cloud 함수를 만듭니다. 이 Cloud 함수는 24시간마다 DLP 작업 이름을 수신하고, Cloud DLP를 호출하여 이 작업의 요약 결과를 가져오고, 주민등록번호가 발견되면 BigQuery 또는 Cloud Identity and Access Management(IAM)에서 설정을 변경하여 테이블 액세스를 제한할 수 있습니다.

리소스