操作

Cloud Data Loss Prevention (DLP) 操作是在 DLP 作业成功完成后或电子邮件发生错误时出现的情况。例如,您可以将发现结果保存到 BigQuery 表格中、向 Pub/Sub 主题发布通知,或者在作业成功完成后或因发生错误而停止时发送电子邮件。

支持的操作

当您运行 Cloud Data Loss Prevention (DLP) 作业时,Cloud DLP 会默认保存其发现结果摘要。您可以使用Google Cloud Console 中的 Cloud DLP 查看此摘要,或使用 projects.dlpJobs.get 方法检索 DLP API 中的摘要信息。

Cloud DLP 支持不同类型的操作,具体取决于运行的作业类型(检查作业或风险分析扫描作业)。以下是目前支持的操作:

  • 将发现结果保存到 BigQuery(检查作业和风险作业):将 DLP 作业结果保存到 BigQuery 表格。在查看或分析结果之前,您需要首先确保作业已完成。
  • 发布到 Pub/Sub(检查作业和风险作业):将包含作为属性的 DLP 作业名称的通知发布到 Pub/Sub渠道。您可以指定接收通知消息的目标主题,只要向其授予对运行 DLP 扫描作业的 Cloud DLP 服务帐号的发布权限。
  • 发布到 Security Command Center(风险作业):将作业结果摘要发布到 Security Command Center。如需了解详情,请参阅将 Cloud DLP 扫描结果发送到 Security Command Center
  • 发布到 Data Catalog(风险作业):将作业结果发送到 Google Cloud 的元数据管理服务 Data Catalog。
  • 发布到 Google Cloud 的运维套件(风险作业):将检查结果发送到 Google Cloud 的运维套件中的 Cloud Monitoring。
  • 通过电子邮件发送通知(检查作业和风险作业):作业完成时向项目所有者和编辑者发送电子邮件。

指定操作

您可以在配置 Cloud DLP 时指定一项或多项操作:

  • 使用 Cloud Console 中的 Cloud DLP 创建新的检查作业或风险分析作业时,请在作业创建工作流的添加操作部分中指定操作。
  • 配置要发送到 DLP API 的新作业请求时,请在 Action 对象中指定操作。

如需了解多种语言的详情和示例代码,请参阅:

示例操作场景

您可以使用 DLP API 操作来基于 Cloud DLP 扫描结果自动执行流程。假设您有一个与外部合作伙伴共享的 BigQuery 表。您希望确保此表未含任何敏感标识符(如社会保障号 (infoType US_SOCIAL_SECURITY_NUMBER)),以及如果发现任何敏感标识符,就撤消合作伙伴的访问权限。下面简要概述了使用操作的工作流:

  1. 创建 Cloud DLP 作业触发器,以便每隔 24 小时针对 BigQuery 表格运行一次检查扫描。
  2. 设置这些作业的操作,以将 Pub/Sub 通知发布到“projects/foo/scan_notificationss”主题。
  3. 创建 Cloud Functions 函数,用于侦听“projects/foo/scan_notifications”上的传入消息。此 Cloud Functions 函数会每隔 24 小时接收一次 DLP 作业的名称,并调用 Cloud DLP 以获取此作业的摘要结果。如果找到任何社会保障号,它可以更改 BigQuery 或 Identity and Access Management (IAM) 中的设置来限制对表格的访问权限。

后续步骤