作业和作业触发器

作业是指 Cloud Data Loss Prevention (DLP) 为扫描内容中的敏感数据或计算重标识的风险而执行的操作。 只要让 Cloud DLP 检查您的数据,它就会创建并运行作业资源。

目前有两种类型的 Cloud DLP 作业:

  • 检查作业 - 根据您的标准检查内容中的敏感数据,并生成有关敏感数据的位置和类型的摘要报告。
  • 风险分析作业 - 对已经去标识化的数据进行分析,返回有关数据重标识可能性的指标。

您可以通过创建作业触发器来安排 Cloud DLP 运行作业的时间。作业触发器是一种会自动创建 DLP 作业来扫描 Cloud Storage 存储分区、BigQuery 表和 Datastore 种类等 Google Cloud 存储区的事件。

利用作业触发器,您可以通过设置每个触发器关闭的时间间隔来安排扫描作业。作业触发器可以配置为查找自上次扫描运行以来的新发现结果,以帮助监控内容的更改或添加,或生成最新的发现结果报告。安排好的触发器会按您设置的间隔(从 1 天到 60 天)运行。

后续步骤

如需详细了解如何创建、修改以及运行作业和作业触发器,请参阅下列主题:

此外,您也可以参考下列快速入门指南:

JobTrigger 对象

在 DLP API 中,作业触发器用 JobTrigger 对象来表示。

作业触发器配置字段

每个 JobTrigger 都包含多个配置字段,包括:

  • 触发器的名称、显示名称和说明。
  • 一系列 Trigger 对象,每个对象都包含一个 Schedule 对象,用于定义扫描周期(以秒为单位)。
  • InspectJobConfig 对象,包含已触发作业的配置信息。
  • Status 枚举,指示触发器当前是否处于活动状态。
  • 表示创建、更新和上次运行时间的时间戳字段。
  • 一系列 Error 对象(如果在激活触发器时遇到过任何此类对象)。

作业触发器方法

每个 JobTrigger 对象还包括几种内置方法。使用这些方法,您可以执行以下操作:

使用作业触发器

本部分介绍如何仅使用作业触发器扫描新内容,以及如何在每次使用 Cloud Functions 将文件上传到 Cloud Storage 时触发作业。

仅扫描新内容

您还可以设置一个选项,以自动针对存储在 Cloud StorageBigQuery 中的文件设置时间范围日期。将 TimespanConfig 对象设置为自动填充后,Cloud DLP 将仅扫描自上次触发器运行以来添加或修改的数据:

...
  timespan_config {
        enable_auto_population_of_timespan_config: true
      }
...

在文件上传时触发作业

除了支持 Cloud DLP 内置的作业触发器之外,Google Cloud 还具有可用于集成或触发 DLP 作业的其他多种组件。例如,每次将文件上传到 Cloud Storage 时,您都可以使用 Cloud Functions 触发 DLP 扫描。

如需执行此操作的分步说明,请参阅对上传到 Cloud Storage 的数据进行自动分类