Uma ação de proteção de dados sensíveis ocorre após a conclusão de uma operação ou, no caso de e-mails, quando ocorre um erro. Por exemplo, é possível salvar descobertas em uma tabela do BigQuery, publicar uma notificação em um tópico do Pub/Sub ou enviar um e-mail quando uma operação é concluída com êxito ou é interrompida em caso de erro.
Ações disponíveis
Quando você executa um job de proteção de dados sensíveis, um resumo das descobertas é salvo por
padrão na proteção de dados sensíveis. Para conferir esse resumo, use a
Proteção de dados sensíveis no console do Google Cloud. Para os jobs, também é possível recuperar informações resumidas na API DLP usando o método projects.dlpJobs.get.
A proteção de dados sensíveis oferece suporte a diferentes tipos de ações, dependendo do tipo de operação em execução. Confira a seguir as ações disponíveis.
Salvar descobertas no BigQuery
Salve os resultados do job de proteção de dados sensíveis em uma tabela do BigQuery. Antes de visualizar ou analisar os resultados, confira se o job foi concluído.
Sempre que uma verificação é executada, a proteção de dados sensíveis salva as descobertas na tabela do BigQuery que você especificou. As descobertas exportadas contêm detalhes sobre o local de cada descoberta e a probabilidade de correspondência. Se você quiser que cada descoberta inclua a string que corresponde ao detector de infoType, ative a opção Incluir aspas.
Se você não especificar um ID de tabela, o BigQuery atribuirá um nome padrão a uma nova tabela na primeira vez que a verificação for executada. Se você especificar uma tabela atual, a proteção de dados sensíveis anexará as descobertas da verificação a ela.
Quando os dados são gravados em uma tabela do BigQuery, o faturamento e o uso de cota são aplicados ao projeto que contém a tabela de destino.
Se as descobertas não forem salvas no BigQuery, os resultados da verificação conterão apenas estatísticas sobre o número e os infoTypes delas.
Publicar no Pub/Sub
Publique uma notificação que contenha o nome do job de proteção de dados sensíveis como um atributo para um canal do Pub/Sub. É possível especificar um ou mais tópicos para enviar a mensagem de notificação. Certifique-se de que a conta de serviço de proteção de dados sensíveis que executa o job de verificação tenha acesso de publicação no tópico.
Se houver problemas de configuração ou permissão com o tópico do Pub/Sub, a proteção de dados sensíveis tentará enviar a notificação do Pub/Sub por até duas semanas. Depois de duas semanas, a notificação será descartada.
Publicar no Security Command Center
Publicar um resumo dos resultados do job no Security Command Center. Para mais informações, acesse Enviar resultados da verificação da proteção de dados sensíveis ao Security Command Center.
Publicar no Dataplex
Envie os resultados do job para o Dataplex, o serviço de gerenciamento de metadados do Google Cloud.
Notificar por e-mail
Envie um e-mail quando o job for concluído. O e-mail vai para os proprietários do projeto do IAM e os Contatos essenciais.
Publicar no Cloud Monitoring
Envie os resultados da inspeção para o Cloud Monitoring no pacote de operações do Google Cloud.
Fazer uma cópia desidentificada
Desidentifique todas as descobertas nos dados inspecionados e grave o conteúdo desidentificado em um novo arquivo. Você pode usar a cópia desidentificada nos processos da sua empresa, no lugar dos dados que contêm informações confidenciais. Para mais informações, consulte Criar uma cópia desidentificada dos dados do Cloud Storage usando a proteção de dados sensíveis no Console do Google Cloud.
Operações suportadas
A tabela a seguir mostra as operações de proteção de dados sensíveis e onde cada ação está disponível.
| Ação | Inspeção do BigQuery | Inspeção do Cloud Storage | Inspeção do Datastore | Inspeção híbrida | Análise de risco | Descoberta (criação de perfil de dados) |
|---|---|---|---|---|---|---|
| Publicar no Chronicle | ✓ | |||||
| Salvar descobertas no BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar no Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar no Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
| Publicar no Dataplex (Data Catalog) | ✓ | ✓ | ||||
| Notificar por e-mail | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Publicar no Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
| Desidentificar descobertas | ✓ |
Especificar ações
É possível especificar uma ou mais ações ao configurar uma proteção de dados sensíveis:
- Ao criar um novo job de inspeção ou análise de risco usando a proteção de dados sensíveis no console do Google Cloud, especifique ações na seção Adicionar ações do fluxo de trabalho de criação de jobs.
- Ao configurar uma nova solicitação de job para enviar à API DLP,
especifique ações no
objeto
Action.
Para mais informações e códigos de amostra em várias linguagens, acesse o conteúdo a seguir:
- Como criar e agendar jobs de inspeção
- Como calcular k-anonimato de um conjunto de dados
- Como calcular l-diversidade de um conjunto de dados
Exemplo de cenário de ação
É possível usar ações de proteção de dados sensíveis para automatizar processos com base
nos resultados da verificação da proteção de dados sensíveis. Suponha que você tenha uma tabela do BigQuery compartilhada com um parceiro externo. Você quer garantir que essa tabela
não contenha nenhum identificador confidencial, como números de seguro social dos EUA
(o
InfoType US_SOCIAL_SECURITY_NUMBER),
e que se você encontrar alguma, o acesso ao parceiro seja revogado. Veja a seguir um resumo
de um fluxo de trabalho que usa ações:
- Crie um acionador de job de proteção de dados confidenciais para executar uma verificação de inspeção da tabela do BigQuery a cada 24 horas.
- Defina a ação desses jobs para publicar uma notificação do Pub/Sub no tópico "projects/foo/scan_notifications".
- Crie uma função do Cloud Functions que detecte as mensagens recebidas em "projects/foo/scan_notifications". Essa função do Cloud vai receber o nome do job de proteção de dados sensíveis a cada 24 horas, chamar a proteção de dados sensíveis para receber os resultados resumidos desse job e, se encontrar números de CPF ou CNPJ, poderá alterar as configurações no BigQuery ou no Identity and Access Management (IAM) para restringir o acesso à tabela.
A seguir
- Saiba mais sobre as ações disponíveis com jobs de inspeção.
- Saiba mais sobre as ações disponíveis com jobs de análise de risco.