您可以使用模板创建和保留配置信息以用于 Sensitive Data Protection。模板可用于将配置信息(例如检查的内容和去标识化的方式)与请求的实现分离。模板提供了一种可靠的方法用于管理 Sensitive Data Protection 功能的大规模部署。
Sensitive Data Protection 支持两种类型的模板:
模板的优点
通过模板,您可为作业配置信息使用单一来源。请设想一下对 Sensitive Data Protection 的典型检查扫描请求。无论您是在 Google Cloud 存储库中检查文本、图片还是结构化数据,您的检查请求都将包含下面两项基本信息:
- 要扫描的数据:数据本身或有关数据位置的信息。
- 扫描内容:要开启的预定义或自定义 infoType、可能性限制等。
假设您已安排运行多个存储检查作业,所有这些作业都对Google Cloud 存储区中的手机号码进行了扫描,然后创建了一份发现结果报告。以下是这些作业的概念性摘要说明。请注意,"inspectJob"
表示要扫描的数据,"inspectConfig"
表示扫描内容。
检查作业 #1:
"inspectJob"
:2017 年第 2 季度营销数据库。"inspectConfig"
:PHONE_NUMBER infoType。检查作业 #2:
"inspectJob"
:客户提醒联系人数据库。"inspectConfig"
:PHONE_NUMBER infoType。检查作业 #3:
"inspectJob"
:绝密 VIP 合作伙伴战略数据库。"inspectConfig"
:PHONE_NUMBER infoType。检查作业 #4:
"inspectJob"
:政府合同数据库。"inspectConfig"
:PHONE_NUMBER infoType。
每个作业的数据源都不同,但对扫描内容的说明是相同的。现在,假设我们还要扫描电子邮件地址。在这种情况下,您必须修改每个作业的配置并将电子邮件地址添加到 "inspectConfig"
。如果您改用模板来配置扫描内容,则只需修改一项配置(即模板的配置)即可。下次运行其中任何作业时,作业就会知道要扫描电话号码和电子邮件地址,因为 "inspectConfig"
已设置为模板。
InspectTemplate 和 DeidentifyTemplate 对象
模板在敏感数据保护中由 InspectTemplate
和 DeidentifyTemplate
对象表示。这两个模板对象都包含一组 infoType 检测器的配置,该配置可用于通常本该指定 InspectConfig
或 DeidentifyConfig
对象的任意位置。
模板配置字段
每个模板对象都包含模板实现的配置对象,以及几个其他配置字段:
- 模板的名称、显示名和说明。
InspectConfig
或DeidentifyConfig
对象:检查作业或去标识化作业的配置信息。- 创建时间 (
"createTime"
) 和上次更新时间 ("updateTime"
) 的只读时间戳。
模板方法
每个模板对象还包含多种内置管理方法。 通过这些方法,您无需更新每个请求或集成即可维护模板。在下表中,每种管理方法均附加了链接,并根据模板是应用于组织范围还是项目范围,以及模板是去标识化模板还是检查模板进行组织:
organization. |
project. |
|||
---|---|---|---|---|
deidentify |
inspect |
deidentify |
inspect |
|
创建新模板 | create |
create |
create |
create |
更新现有模板 | patch |
patch |
patch |
patch |
删除现有模板 | delete |
delete |
delete |
delete |
检索现有模板,包括其配置和状态 | get |
get |
get |
get |
列出所有现有作业模板 | list |
list |
list |
list |
使用模板
模板可用于检查和去标识化配置信息,并且可用于内容 API 调用(文本和图片)和敏感数据保护作业(存储库)。
模板拥有功能强大的 Identity and Access Management (IAM) 控件,因此您可仅限获批用户对其进行管理。如需了解详情,请参阅以下主题:
资源
如需了解如何通过 Sensitive Data Protection 创建和使用模板,请参阅: