이 페이지에서는 Cloud Storage 디렉터리를 검사하고 Google Cloud 콘솔에서 Sensitive Data Protection을 사용하여 지원되는 파일의 익명화된 사본을 만드는 방법을 설명합니다.
이 작업을 통해 비즈니스 프로세스에 사용되는 파일에 PII(개인 식별 정보)와 같은 민감한 정보가 포함되지 않도록 할 수 있습니다. Sensitive Data Protection은 Cloud Storage 버킷의 파일에 민감한 정보가 있는지 검사하고 별도의 버킷에 해당 파일의 익명화된 복사본을 만들 수 있습니다. 그런 다음 비즈니스 프로세스에서 익명화된 사본을 사용할 수 있습니다.
스토리지에 있는 데이터를 익명화할 때 발생하는 작업에 대한 자세한 내용은 스토리지의 민감한 정보 익명화를 참조하세요.
시작하기 전에
이 페이지의 필요 조건은 다음과 같습니다.
결제가 사용 설정되었습니다.
Sensitive Data Protection을 사용 설정했습니다.
Cloud Storage 버킷에 익명화할 데이터가 포함되어 있습니다.
이 작업의 제한사항 및 고려사항에 대해 알아보세요.
스토리지 분류에는 다음 OAuth 범위가 필요합니다. https://www.googleapis.com/auth/cloud-platform
자세한 내용은 DLP API 인증을 참조하세요.
필요한 IAM 역할
이 작업의 모든 리소스가 동일한 프로젝트에 있으면 서비스 에이전트의 DLP API 서비스 에이전트 역할(roles/dlp.serviceAgent
)만 있으면 됩니다. 이 역할을 사용하여 다음을 수행할 수 있습니다.
- 검사 작업 만들기
- 입력 디렉터리의 파일 읽기
- 익명화된 파일을 출력 디렉터리에 쓰기
- BigQuery 테이블에 변환 세부정보 쓰기
관련 리소스에는 검사 작업, 익명화 템플릿, 입력 버킷, 출력 버킷, 변환 세부정보 테이블이 포함됩니다.
별도의 프로젝트에 리소스가 있어야 하는 경우 프로젝트의 서비스 에이전트에도 다음 역할이 있는지 확인합니다.
- 입력 버킷 또는 이를 포함하는 프로젝트에 대한 스토리지 객체 뷰어 역할(
roles/storage.objectViewer
) - 출력 버킷 또는 이를 포함하는 프로젝트에 대한 스토리지 객체 생성자 역할(
roles/storage.objectCreator
) - 변환 세부정보 테이블 또는 이를 포함하는 프로젝트에 대한 BigQuery 데이터 편집자 역할(
roles/bigquery.dataEditor
)
Google 관리형 서비스 계정인 서비스 에이전트에 역할을 부여하려면 단일 역할 부여를 참조하세요. 다음 수준에서도 액세스를 제어할 수 있습니다.
개요
Cloud Storage 파일의 익명화된 사본을 만들려면 지정한 기준에 따라 민감한 정보를 찾는 검사 작업을 구성합니다. 그런 다음 검사 작업 내에서 익명화된 사본 만들기 작업을 사용 설정합니다. Sensitive Data Protection이 발견 항목을 변환하는 방법을 지정하는 익명화 템플릿을 설정할 수 있습니다. 익명화 템플릿을 제공하지 않으면 Sensitive Data Protection에서 기본 익명화 동작에 설명된 대로 발견 항목을 변환합니다.
익명화된 사본 만들기 작업을 사용 설정하면 기본적으로 Sensitive Data Protection이 스캔에 포함된 모든 지원되는 파일 형식을 변환합니다. 그러나 지원되는 파일 형식의 하위 집합만 변환하도록 작업을 구성할 수 있습니다.
선택사항: 익명화 템플릿 만들기
발견 항목의 변환 방법을 제어하려면 다음 템플릿을 만듭니다. 이러한 템플릿은 구조화된 파일, 구조화되지 않은 파일, 이미지의 발견 항목 변환에 대한 안내를 제공합니다.
익명화 템플릿: 자유 형식 텍스트 파일과 같이 구조화되지 않은 파일에 사용할 기본 익명화 템플릿입니다. 이 유형의 익명화 템플릿은 구조화된 콘텐츠에만 지원되는 레코드 변환을 포함할 수 없습니다. 이 템플릿이 없으면 Sensitive Data Protection은 infoType 대체 메서드를 사용하여 구조화되지 않은 파일을 변환합니다.
구조화된 익명화 템플릿: CSV 파일과 같이 구조화된 파일에 사용할 익명화 템플릿입니다. 이 익명화 템플릿은 레코드 변환을 포함할 수 있습니다. 이 템플릿이 없으면 Sensitive Data Protection은 개발자가 만든 기본 익명화 템플릿을 사용합니다. 이 템플릿도 없으면 Sensitive Data Protection에서 infoType 대체 메서드를 사용하여 구조화된 파일을 변환합니다.
이미지 수정 템플릿: 이미지에 사용할 익명화 템플릿입니다. 이 템플릿이 없으면 Sensitive Data Protection은 이미지의 모든 발견 항목을 검은색 상자로 수정합니다.
익명화 템플릿 만들기 방법을 알아보세요.
익명화 작업이 포함된 검사 작업 만들기
Google Cloud 콘솔에서 작업 또는 작업 트리거 만들기 페이지로 이동합니다.
Sensitive Data Protection 작업 정보를 입력하고 계속을 클릭하여 각 단계를 완료합니다.
다음 섹션에서는 페이지의 관련 섹션을 채우는 방법을 설명합니다.
입력 데이터 선택
입력 데이터 선택 섹션에서 다음을 수행합니다.
- 선택사항: 이름에 검사 작업의 식별자를 입력합니다.
- 리소스 위치에 대해 전역 또는 검사 작업을 저장할 리전을 선택합니다.
- 위치에 Google Cloud Storage를 선택합니다.
- URL에 입력 디렉터리 경로를 입력합니다. 입력 디렉터리에는 스캔할 데이터가 포함됩니다(예:
gs://input-bucket/folder1/folder1a
). 입력 디렉터리를 재귀적으로 스캔하려면 URL에 후행 슬래시를 추가한 후 재귀적으로 스캔을 선택합니다. 샘플링 섹션의 샘플링 방법 목록에서 샘플링 없음을 선택합니다.
샘플링은 익명화로 구성된 작업 및 작업 트리거에서 지원되지 않습니다.
감지 구성
감지 구성 섹션에서 검사할 민감한 정보 유형을 선택합니다. 이를 infoType이라고 합니다. 사전 정의된 infoType 목록에서 선택하거나 템플릿(있는 경우)을 선택할 수 있습니다. 자세한 내용은 감지 구성을 참조하세요.
작업 추가
작업 추가 섹션에서 다음을 수행합니다.
- 익명화된 사본 만들기를 사용 설정합니다.
- 선택사항: 익명화 템플릿에 기본 익명화 템플릿(생성된 경우)의 전체 리소스 이름을 입력합니다.
- 선택사항: 구조화된 익명화 템플릿에 구조화된 파일에 대한 익명화 템플릿(생성된 경우)의 전체 리소스 이름을 입력합니다. 그렇지 않은 경우 Sensitive Data Protection에서 기본 템플릿을 만든 경우 이 템플릿을 사용합니다.
- 선택사항: 이미지 수정 템플릿에 이미지에 대한 이미지 수정 템플릿(생성된 경우)의 전체 리소스 이름을 입력합니다.
선택사항: Sensitive Data Protection에서 BigQuery 테이블에 변환 세부정보를 저장하려면 BigQuery로 변환 세부정보 내보내기를 선택한 후 다음을 입력합니다.
- 프로젝트 ID: BigQuery 테이블이 포함된 프로젝트입니다.
- 데이터 세트 ID: BigQuery 테이블이 포함된 데이터 세트입니다.
- 테이블 ID: Sensitive Data Protection에서 각 변환에 대한 세부정보를 저장해야 하는 테이블입니다. Sensitive Data Protection은 사용자가 제공한 테이블 ID로 이 테이블을 만듭니다. 테이블 ID를 제공하지 않으면 시스템에서 자동으로 생성됩니다.
이 표에는 실제 익명화된 콘텐츠가 저장되지 않습니다.
데이터가 BigQuery 테이블에 기록되면 결제 및 할당량 사용량이 대상 테이블이 포함된 프로젝트에 적용됩니다.
Cloud Storage 출력 위치에 익명화된 파일을 저장할 Cloud Storage 디렉터리의 URL을 입력합니다. 이 디렉터리는 입력 디렉터리와 동일한 Cloud Storage 버킷에 있으면 안 됩니다.
선택사항: 파일 형식에 대해 변환할 파일 형식을 선택합니다.
추가할 수 있는 다른 작업에 대한 자세한 내용은 작업 추가를 참조하세요.
일정
일정 섹션에서 이 작업을 반복 작업으로 만들지 여부를 지정합니다.
- 스캔을 한 번만 실행하려면 필드를 없음으로 설정합니다.
- 스캔이 주기적으로 실행되도록 예약하려면 주기적인 일정으로 작업을 실행하는 트리거 만들기를 클릭합니다.
자세한 내용은 일정을 참조하세요.
검토
일정 섹션에서 작업 구성을 검토하고 필요한 경우 작업을 수정합니다.
만들기를 클릭합니다.
작업 일정을 예약하지 않으면 Sensitive Data Protection이 즉시 작업을 시작합니다. 작업이 완료되면 시스템이 작업 세부정보 페이지로 리디렉션되고 여기에서 검사 및 익명화 작업 결과를 확인할 수 있습니다.
변환 세부정보를 BigQuery 테이블로 내보내도록 선택한 경우 테이블이 채워집니다. Sensitive Data Protection이 수행한 각 변환에 대해 하나의 행이 포함됩니다. 각 변환의 세부정보에는 설명, 성공 또는 오류 코드, 오류 세부정보, 변환된 바이트 수, 변환된 콘텐츠의 위치, Sensitive Data Protection에서 변환을 수행한 검사 작업의 이름이 포함됩니다. 이 테이블에는 실제 익명화된 콘텐츠가 포함되지 않습니다.
파일이 익명화되었는지 확인
- 전송 세부정보 페이지에서 구성 탭을 클릭합니다.
- 출력 디렉터리에서 익명화된 파일을 보려면 익명화된 Cloud Storage 데이터의 출력 버킷 필드에 있는 링크를 클릭합니다.
변환 세부정보가 포함된 BigQuery 테이블을 보려면 변환 세부정보 필드의 링크를 클릭합니다.
BigQuery 테이블을 쿼리하는 방법에 대한 자세한 내용은 대화형 쿼리 실행을 참조하세요.
다음 단계
- 스토리지의 데이터 익명화 프로세스 자세히 알아보기
- DLP API를 사용하여 Cloud Storage에 저장된 민감한 정보를 익명화하는 방법을 알아보기
- Codelab: Cloud Storage에서 익명화된 데이터 사본 만들기 살펴보기
- 익명화 변환 자세히 알아보기
- 검사 작업 만들기 및 예약 방법 알아보기