작업

Cloud Data Loss Prevention(DLP) 작업은 DLP 작업이 성공적으로 완료된 후 또는 이메일의 경우 오류가 발생한 뒤 수행되는 것입니다. 예를 들어 결과를 BigQuery 테이블에 저장하거나, Pub/Sub 주제에 알림을 게시하거나, 작업이 성공적으로 완료되거나 오류로 중지되면 이메일을 보낼 수 있습니다.

사용 가능한 작업

Cloud Data Loss Prevention(DLP) 작업을 실행할 때 결과 요약은 기본적으로 Cloud DLP 내에 저장됩니다. 이 요약은 Google Cloud Console의 Cloud DLP 또는 projects.dlpJobs.get 메서드를 사용하여 DLP API의 결과 요약 정보에서 확인할 수 있습니다.

Cloud DLP는 실행 중인 작업 유형에 따라 다른 유형의 작업을 지원합니다(검사 또는 위험 분석 스캔 작업). 현재 지원되는 작업은 다음과 같습니다.

  • 결과를 BigQuery에 저장(검사 및 위험 작업): DLP 작업 결과를 BigQuery 테이블에 저장합니다. 결과를 보거나 분석하기 전에 먼저 작업이 완료되었는지 확인해야 합니다.
  • Pub/Sub에 게시(검사 및 위험 작업): DLP 작업의 이름이 Pub/Sub 채널에 속성으로 포함되어 있는 알림을 게시합니다. DLP 스캔 작업을 실행하는 Cloud DLP 서비스 계정에 게시 액세스 권한을 부여했다면 알림 메시지를 보낼 주제를 지정할 수 있습니다.
  • Security Command Center에 게시(위험 작업): 작업 결과 요약을 Security Command Center에 게시합니다. 자세한 내용은 Cloud DLP 스캔 결과를 Security Command Center로 보내기를 참조하세요.
  • Data Catalog에 게시(위험 작업): Google Cloud의 메타데이터 관리 서비스인 Data Catalog에 작업 결과를 보냅니다.
  • Google Cloud 운영 제품군에 게시(위험 작업): Google Cloud 운영 제품군의 Cloud Monitoring에 검사 결과를 전송합니다.
  • 이메일로 알림(검사 및 위험 작업): 작업이 완료되면 프로젝트 소유자 및 편집자에게 이메일을 보냅니다.

작업 지정

Cloud DLP를 구성할 때 하나 이상의 작업을 지정할 수 있습니다.

  • Cloud Console에서 Cloud DLP를 사용하여 새 검사 또는 위험 분석 작업을 만드는 경우 작업 생성 워크플로의 작업 추가 섹션에 작업을 지정합니다.
  • DLP API로 전송할 새 작업 요청을 구성할 때는 Action 객체에 작업을 지정합니다.

자세한 내용과 여러 언어의 샘플 코드를 보려면 다음을 참조하세요.

액션 시나리오 예

Cloud DLP 액션을 사용하여 Cloud DLP 스캔 결과를 기준으로 프로세스를 자동화할 수 있습니다. 외부 파트너와 공유한 BigQuery 테이블이 있다고 가정해 보겠습니다. 이 테이블에 미국 사회보장번호(infoType US_SOCIAL_SECURITY_NUMBER)와 같은 민감한 식별자가 포함되지 않았으며, 그러한 정보를 발견하는 경우 파트너의 액세스 권한이 취소되도록 하려고 합니다. 액션을 사용하는 대략적인 워크플로는 다음과 같습니다.

  1. Cloud DLP 작업 트리거를 생성하여 24시간마다 BigQuery 테이블 검사 스캔을 실행합니다.
  2. 'projects/foo/scan_notifications' 주제에 Pub/Sub 알림을 게시하도록 이러한 작업의 액션을 설정합니다.
  3. 'projects/foo/scan_notifications'에서 받은 메시지를 리슨하는 Cloud 함수를 만듭니다. 이 Cloud 함수는 24시간마다 DLP 작업의 이름을 수신하고 Cloud DLP를 호출하여 이 작업의 요약 결과를 가져옵니다. 그리고 주민등록번호를 찾은 경우 BigQuery 또는 ID 및 액세스 관리(IAM)에서 설정을 변경하여 테이블에 대한 액세스를 제한할 수 있습니다.

다음 단계