Cet article explique comment utiliser des tâches hybrides et des déclencheurs de tâches hybrides pour inspecter des données externes afin d'identifier des informations sensibles. Pour en savoir plus sur les tâches hybrides et les déclencheurs de tâches hybrides, y compris des exemples d'environnements hybrides, consultez la page Tâches hybrides et déclencheurs de tâches hybrides.
Présentation des tâches hybrides et des déclencheurs de tâches hybrides
Les tâches hybrides et les déclencheurs de tâches hybrides vous permettent d'élargir le champ d'application de la protection des données sensibles au-delà des requêtes d'inspection de contenu simples et de l'analyse du dépôt Google Cloud Storage. À l'aide de tâches hybrides et de déclencheurs de tâches hybrides, vous pouvez diffuser des données depuis pratiquement n'importe quelle source, y compris en dehors de Google Cloud, directement vers la protection des données sensibles, et laisser la protection des données sensibles inspecter les données à la recherche d'informations sensibles. La protection des données sensibles enregistre et agrège automatiquement les résultats pour une analyse plus approfondie.
Comparaison des tâches hybrides et des déclencheurs de tâches hybrides
Lorsque vous créez des tâches hybrides, elles s'exécutent jusqu'à ce que vous les arrêtiez. Ils acceptent toutes les données entrantes pour autant qu'elles soient correctement acheminées et formatées.
Les déclencheurs de tâches hybrides fonctionnent de manière semblable aux tâches hybrides, mais vous n'avez pas besoin d'arrêter explicitement une tâche dans un déclencheur de tâche hybride. La protection des données sensibles arrête automatiquement les tâches dans les déclencheurs de tâches hybrides à la fin de chaque journée.
En outre, avec un déclencheur de tâche hybride, vous pouvez arrêter et démarrer de nouvelles tâches dans le déclencheur sans avoir à reconfigurer vos requêtes hybridInspect
. Par exemple, vous pouvez envoyer des données à un déclencheur de tâche hybride, puis arrêter la tâche active, modifier sa configuration, démarrer une nouvelle tâche au sein de ce déclencheur, puis continuer à envoyer des données au même déclencheur.
Pour savoir quelle option convient à votre cas d'utilisation, consultez la section Scénarios d'inspection hybride classiques sur cette page.
Définition des termes
Cette rubrique utilise les termes suivants:
Données externes: données stockées en dehors de Google Cloud ou données non compatibles avec la protection des données sensibles de manière native.
Tâche hybride: tâche d'inspection configurée pour analyser les données provenant de pratiquement n'importe quelle source.
Déclencheur de tâche hybride: déclencheur de tâche configuré pour analyser les données à partir de pratiquement n'importe quelle source.
Requête
hybridInspect
: requête contenant les données externes que vous souhaitez inspecter. Lorsque vous envoyez cette requête, vous spécifiez la tâche hybride ou le déclencheur de tâche hybride auquel elle est envoyée.
Pour obtenir des informations générales sur les tâches et les déclencheurs de tâche, consultez la page Tâches et déclencheurs de tâche.
Processus d'inspection hybride
Le processus d'inspection hybride comporte trois étapes.
Sélectionnez les données que vous souhaitez envoyer à la protection des données sensibles.
Les données peuvent provenir de Google Cloud ou d'une source extérieure à Google Cloud. Par exemple, vous pouvez configurer un script ou une application personnalisés pour envoyer des données au service de protection des données sensibles, ce qui vous permet d'inspecter les données en cours de transfert, depuis un autre service cloud, un dépôt de données sur site ou pratiquement toute autre source de données.
Configurez une tâche hybride ou un déclencheur de tâche hybride dans la protection des données sensibles à partir de zéro ou à l'aide d'un modèle d'inspection.
Une fois que vous avez configuré une tâche hybride ou un déclencheur de tâche hybride, la protection des données sensibles écoute activement les données qui lui sont envoyées. Lorsque votre script ou votre application personnalisés envoie des données à cette tâche hybride ou à ce déclencheur de tâche hybride, les données sont inspectées et leurs résultats sont stockés en fonction de la configuration.
Lorsque vous configurez la tâche hybride ou le déclencheur de tâche hybride, vous pouvez spécifier l'emplacement où vous souhaitez enregistrer ou publier les résultats. Les options incluent l'enregistrement dans BigQuery et la publication des notifications dans Pub/Sub, Cloud Monitoring ou par e-mail.
Envoyez une requête
hybridInspect
à la tâche hybride ou au déclencheur de tâche hybride.Une requête
hybridInspect
contient les données à analyser. Dans la requête, incluez des métadonnées (également appelées étiquettes et identifiants de table) qui décrivent le contenu et permettent à la protection des données sensibles d'identifier les informations que vous souhaitez suivre. Par exemple, si vous analysez des données associées dans plusieurs requêtes (telles que des lignes dans la même table de base de données), vous pouvez utiliser les mêmes métadonnées dans ces requêtes associées. Vous pouvez ensuite collecter, compter et analyser les résultats de cette table de base de données.
Lorsque la tâche hybride exécute et inspecte les requêtes, les résultats d'inspection sont disponibles lorsque la protection des données sensibles les génère. En revanche, les actions, telles que les notifications Pub/Sub, ne se produisent pas tant que votre application n'a pas terminé la tâche hybride.
Points à prendre en compte
Lorsque vous travaillez avec des tâches hybrides et des déclencheurs de tâches, tenez compte des points suivants:
- Les tâches hybrides et les déclencheurs de tâches hybrides ne sont pas compatibles avec le filtrage et l'échantillonnage.
- Les tâches et les déclencheurs de tâches ne sont pas soumis aux objectifs de niveau de service (SLO), mais vous pouvez prendre certaines mesures pour réduire la latence. Pour en savoir plus, consultez la section Latence des tâches.
Avant de commencer
Avant de configurer et d'utiliser des tâches hybrides ou des déclencheurs de tâches hybrides, assurez-vous d'avoir effectué les opérations suivantes:
Créer un projet, et activer la facturation et la protection des données sensibles
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Sensitive Data Protection API.
Configurer la source de données
Avant que la protection des données sensibles puisse inspecter vos données, vous devez les envoyer au service de protection des données sensibles. Quelle que soit la méthode utilisée pour configurer la tâche hybride ou le déclencheur de tâche hybride, vous devez configurer votre source externe pour qu'elle envoie des données à l'API DLP.
Pour en savoir plus sur le format requis pour les requêtes d'inspection hybride, consultez la section Mise en forme hybride des éléments de contenu. Pour en savoir plus sur les types de métadonnées que vous pouvez inclure avec les données de votre requête, consultez la section Types de métadonnées que vous pouvez fournir.
Créer un déclencheur de tâche hybride ou hybride
Pour permettre à la protection des données sensibles d'inspecter les données que vous lui envoyez, vous devez d'abord configurer une tâche hybride ou un déclencheur de tâche hybride. Pour en savoir plus sur la méthode à créer, consultez la section Scénarios d'inspection hybride classiques sur cette page.
Console
Dans la console Google Cloud, accédez à la page Créer une tâche ou un déclencheur de tâche:
Accéder à la page "Créer une tâche ou un déclencheur de tâche"
Les sections suivantes décrivent comment remplir les sections de la page Créer une tâche ou un déclencheur de tâche qui concernent les opérations d'inspection hybride.
Choisir les données d'entrée
Dans cette section, vous spécifiez les données d'entrée que la protection des données sensibles doit inspecter.
- Facultatif: Dans le champ Nom, attribuez un nom à la tâche en saisissant une valeur dans le champ ID de la tâche. Si vous laissez ce champ vide, la protection des données sensibles génère automatiquement un identifiant.
- Facultatif: Dans le menu Emplacement de la ressource, choisissez la région dans laquelle vous souhaitez stocker la tâche hybride ou le déclencheur de tâche hybride. Pour en savoir plus, consultez la section Spécifier des emplacements de traitement.
Dans le champ Type de stockage, sélectionnez Hybride.
Facultatif: Dans le champ Description, décrivez la tâche hybride ou le déclencheur de tâche hybride que vous créez. Par exemple, vous pouvez inclure des informations sur la source des données à inspecter.
Facultatif: Sous Étiquettes obligatoires, cliquez sur Ajouter une étiquette, puis saisissez une étiquette que vous souhaitez exiger des requêtes
hybridInspect
. Une requêtehybridInspect
qui ne spécifie pas ce libellé n'est pas traitée par cette tâche hybride ou ce déclencheur de tâche hybride. Vous pouvez ajouter jusqu'à 10 étiquettes obligatoires. Pour en savoir plus, consultez la section Exiger des étiquettes pour les requêteshybridInspect
sur cette page.(Facultatif) Sous Libellés facultatifs, saisissez les paires clé/valeur que vous souhaitez associer aux résultats de toutes les requêtes
hybridInspect
envoyées à cette tâche ou à ce déclencheur de tâche. Vous pouvez ajouter jusqu'à 10 libellés facultatifs. Pour en savoir plus, consultez Libellés facultatifs.Facultatif: Sous Options de données tabulaires, saisissez le nom de champ de la colonne de clé primaire si vous prévoyez d'envoyer des données tabulaires dans vos requêtes
hybridInspect
. Pour en savoir plus, consultez la section Options de données tabulaires.Cliquez sur Continuer.
Configurer la détection
Dans cette section, vous spécifiez les types de données sensibles pour lesquelles la protection des données sensibles inspectera les données d'entrée. Vous disposez des options suivantes :
- Modèle: si vous avez déjà créé un modèle dans le projet actuel et que vous souhaitez l'utiliser pour définir les paramètres de détection de la protection des données sensibles, cliquez sur le champ Nom du modèle, puis sélectionnez le modèle dans la liste qui s'affiche.
- InfoTypes: la protection des données sensibles sélectionne les infoTypes intégrés les plus courants à détecter. Pour modifier les infoTypes ou choisir un infoType personnalisé à utiliser, cliquez sur Gérer les infoTypes. Vous pouvez également affiner les critères de détection dans les sections Ensembles de règles d'inspection et Seuil de confiance. Pour en savoir plus, consultez la section Configurer la détection.
Après avoir configuré les paramètres de détection, cliquez sur Continuer.
Ajouter des actions
Cette section vous permet de spécifier où enregistrer les résultats de chaque analyse d'inspection et si vous souhaitez être averti par e-mail ou par un message de notification Pub/Sub chaque fois qu'une analyse est terminée. Si vous n'enregistrez pas les résultats dans BigQuery, les résultats de l'analyse ne contiennent que des statistiques sur le nombre et les infoTypes des résultats.
- Enregistrement dans BigQuery: chaque fois qu'une analyse est exécutée, la protection des données sensibles enregistre les résultats dans la table BigQuery que vous spécifiez ici. Si vous ne spécifiez pas d'ID de table, BigQuery attribue un nom par défaut à une nouvelle table lors de la première exécution de l'analyse. Si vous spécifiez une table existante, la protection des données sensibles y ajoute les résultats d'analyse.
Publier dans Pub/Sub : lorsque la tâche est terminée, un message Pub/Sub est envoyé.
Notifier par e-mail : lorsque la tâche est terminée, un e-mail est envoyé.
Publier sur Cloud Monitoring : lorsque la tâche est terminée, ses résultats sont publiés dans Monitoring.
Après avoir sélectionné des actions, cliquez sur Continuer.
Planification
Cette section vous permet de spécifier si vous devez créer une tâche unique qui s'exécute immédiatement ou un déclencheur de tâche qui s'exécute chaque fois que la protection des données sensibles reçoit des données correctement acheminées et mises en forme.
Effectuez l'une des opérations suivantes :
Pour exécuter immédiatement la tâche hybride, sélectionnez Aucun (exécuter la tâche ponctuelle immédiatement après sa création).
Pour configurer la tâche de sorte que les données reçues de la source la déclenchent, choisissez Créer un déclencheur pour exécuter la tâche selon une programmation régulière.
Une tâche hybride déclenche des appels d'API agrégés, ce qui vous permet de voir les résultats et les tendances au fil du temps.
Pour en savoir plus, consultez la section Comparaison des tâches hybrides et des déclencheurs de tâches hybrides.
Récapitulatif
Vous pouvez ici consulter un résumé JSON de l'analyse. Veillez à noter le nom du déclencheur de tâche hybride ou hybride. Vous avez besoin de ces informations lorsque vous envoyez des données à la protection des données sensibles pour inspection.
Après avoir vérifié le résumé JSON, cliquez sur Créer.
La protection des données sensibles lance immédiatement la tâche hybride ou le déclencheur de tâche hybride.
Une analyse d'inspection est lancée lorsque vous envoyez une requête hybridInspect
à cette tâche hybride ou à ce déclencheur de tâche hybride.
API
Une tâche est représentée dans l'API DLP par la ressource DlpJobs
. Pour créer une tâche hybride, vous devez appeler la méthode projects.locations.dlpJobs.create
.
Un déclencheur de tâche est représenté dans l'API DLP par la ressource JobTrigger
. Pour créer un déclencheur de tâche hybride, appelez la méthode projects.locations.jobTriggers.create
.
L'objet DlpJobs
ou JobTrigger
que vous créez doit comporter les paramètres suivants:
- Dans le champ
inspectJob
, définissez un objetInspectJobConfig
. - Dans le champ
storageConfig
de l'objetInspectJobConfig
, définissez un objetStorageConfig
. - Dans le champ
hybridOptions
de l'objetStorageConfig
, définissez un objetHybridOptions
. Cet objet contient des métadonnées sur les données que vous souhaitez inspecter. Dans le champ
actions
de l'objetInspectJobConfig
, ajoutez toutes les actions (Action
) que la protection des données sensibles doit effectuer à la fin de chaque tâche.Les actions
publishSummaryToCscc
etpublishFindingsToCloudDataCatalog
ne sont pas compatibles avec cette opération. Pour en savoir plus sur les actions, consultez la section Actions.Spécifiez les éléments à analyser et comment effectuer l'une des opérations suivantes, ou les deux:
Définissez le champ
inspectTemplateName
sur le nom complet de la ressource d'un modèle d'inspection que vous souhaitez utiliser, s'il est disponible.Définissez le champ
inspectConfig
.
Si vous définissez à la fois des champs
inspectTemplateName
etinspectConfig
, leurs paramètres sont combinés.
À propos des exemples JSON
Les onglets suivants contiennent des exemples JSON que vous pouvez envoyer au service de protection des données sensibles pour créer une tâche hybride ou un déclencheur de tâche hybride. Ces exemples de déclencheurs de tâches hybrides et hybrides sont configurés pour effectuer les opérations suivantes:
- Traitez toute requête
hybridInspect
si elle porte le libelléappointment-bookings-comments
. - Analysez le contenu de la requête
hybridInspect
pour obtenir des adresses e-mail. - Associez le libellé
"env": "prod"
aux résultats. - Pour les données tabulaires, récupérez la valeur de la cellule dans la colonne
booking_id
(clé primaire) qui se trouve sur la même ligne que la cellule dans laquelle les données sensibles ont été trouvées. La protection des données sensibles associe cet identifiant au résultat afin que vous puissiez tracer ce résultat jusqu'à la ligne spécifique dont il provient. - Envoyer un e-mail lorsque la tâche s'arrête. L'e-mail est envoyé aux propriétaires de projets IAM et aux contacts essentiels techniques.
- Envoie les résultats à Cloud Monitoring lorsque le job est arrêté.
Pour afficher les exemples JSON, consultez les onglets suivants.
Emploi hybride
Cet onglet contient un exemple JSON que vous pouvez utiliser pour créer une tâche hybride.
Pour créer une tâche hybride, envoyez une requête POST
au point de terminaison ci-dessous.
Méthode et URL HTTP
POST https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/REGION/dlpJobs
Remplacez les éléments suivants :
- PROJECT_ID: ID du projet dans lequel vous souhaitez stocker la tâche hybride.
- REGION: région géographique dans laquelle vous souhaitez stocker la tâche hybride.
Entrée JSON
{
"jobId": "postgresql-table-comments",
"inspectJob": {
"actions": [
{
"jobNotificationEmails": {}
},
{
"publishToStackdriver": {}
}
],
"inspectConfig": {
"infoTypes": [
{
"name": "EMAIL_ADDRESS"
}
],
"minLikelihood": "POSSIBLE",
"includeQuote": true
},
"storageConfig": {
"hybridOptions": {
"description": "Hybrid job for data from the comments field of a table that contains customer appointment bookings",
"requiredFindingLabelKeys": [
"appointment-bookings-comments"
],
"labels": {
"env": "prod"
},
"tableOptions": {
"identifyingFields": [
{
"name": "booking_id"
}
]
}
}
}
}
}
Sortie JSON
{ "name": "projects/PROJECT_ID/locations/REGION/dlpJobs/i-postgresql-table-comments", "type": "INSPECT_JOB", "state": "ACTIVE", "inspectDetails": { "requestedOptions": { "snapshotInspectTemplate": {}, "jobConfig": { "storageConfig": { "hybridOptions": { "description": "Hybrid job for data from the comments field of a table that contains customer appointment bookings", "requiredFindingLabelKeys": [ "appointment-bookings-comments" ], "labels": { "env": "prod" }, "tableOptions": { "identifyingFields": [ { "name": "booking_id" } ] } } }, "inspectConfig": { "infoTypes": [ { "name": "EMAIL_ADDRESS" } ], "minLikelihood": "POSSIBLE", "limits": {}, "includeQuote": true }, "actions": [ { "jobNotificationEmails": {} }, { "publishToStackdriver": {} } ] } }, "result": { "hybridStats": {} } }, "createTime": "JOB_CREATION_DATETIME", "startTime": "JOB_START_DATETIME" }
La protection des données sensibles crée la tâche hybride et génère un ID de tâche. Dans cet exemple, l'ID de la tâche est i-postgresql-table-comments
. Notez l'ID de la tâche.
Vous en aurez besoin dans votre requête hybridInspect
.
Pour arrêter une tâche hybride, vous devez appeler la méthode projects.locations.dlpJobs.finish
explicitement. L'API DLP n'arrête pas automatiquement les tâches hybrides. En revanche, l'API DLP arrête automatiquement les tâches dans les déclencheurs de tâches hybrides à la fin de chaque journée.
Déclencheur de tâche hybride
Cet onglet contient un exemple JSON que vous pouvez utiliser pour créer un déclencheur de tâche hybride.
Pour créer un déclencheur de tâche hybride, envoyez une requête POST
au point de terminaison suivant.
Méthode et URL HTTP
POST https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/REGION/jobTriggers
Remplacez les éléments suivants :
- PROJECT_ID: ID du projet dans lequel vous souhaitez stocker le déclencheur de tâche hybride.
- REGION: région géographique dans laquelle vous souhaitez stocker le déclencheur de tâche hybride.
Entrée JSON
{
"triggerId": "postgresql-table-comments",
"jobTrigger": {
"triggers": [
{
"manual": {}
}
],
"inspectJob": {
"actions": [
{
"jobNotificationEmails": {}
},
{
"publishToStackdriver": {}
}
],
"inspectConfig": {
"infoTypes": [
{
"name": "EMAIL_ADDRESS"
}
],
"minLikelihood": "POSSIBLE",
"limits": {},
"includeQuote": true
},
"storageConfig": {
"hybridOptions": {
"description": "Hybrid job trigger for data from the comments field of a table that contains customer appointment bookings",
"requiredFindingLabelKeys": [
"appointment-bookings-comments"
],
"labels": {
"env": "prod"
},
"tableOptions": {
"identifyingFields": [
{
"name": "booking_id"
}
]
}
}
}
}
}
}
Sortie JSON
{ "name": "projects/PROJECT_ID/locations/REGION/jobTriggers/postgresql-table-comments", "inspectJob": { "storageConfig": { "hybridOptions": { "description": "Hybrid job trigger for data from the comments field of a table that contains customer appointment bookings", "requiredFindingLabelKeys": [ "appointment-bookings-comments" ], "labels": { "env": "prod" }, "tableOptions": { "identifyingFields": [ { "name": "booking_id" } ] } } }, "inspectConfig": { "infoTypes": [ { "name": "EMAIL_ADDRESS" } ], "minLikelihood": "POSSIBLE", "limits": {}, "includeQuote": true }, "actions": [ { "jobNotificationEmails": {} }, { "publishToStackdriver": {} } ] }, "triggers": [ { "manual": {} } ], "createTime": ""JOB_CREATION_DATETIME", "updateTime": "TRIGGER_UPDATE_DATETIME", "status": "HEALTHY" }
La protection des données sensibles crée le déclencheur de tâche hybride. La sortie contient le nom du déclencheur de tâche hybride. Dans cet exemple, il s'agit de postgresql-table-comments
. Notez le nom. Vous en aurez besoin dans votre requête hybridInspect
.
Contrairement aux tâches hybrides, l'API DLP arrête automatiquement les tâches dans les déclencheurs de tâches hybrides à la fin de chaque journée. Ainsi, vous n'avez pas besoin d'appeler explicitement la méthode projects.locations.dlpJobs.finish
.
Lorsque vous créez une tâche hybride ou un déclencheur de tâche hybride, vous pouvez utiliser APIs Explorer sur les pages de référence de l'API suivantes, respectivement:
Dans le champ Paramètres de requête, saisissez projects/PROJECT_ID/locations/REGION
. Ensuite, dans le champ Request body (Corps de la requête), collez l'exemple JSON correspondant à l'objet que vous essayez de créer.
Une requête réussie, même créée dans APIs Explorer, crée une tâche hybride ou un déclencheur de tâche hybride.
Des informations générales sur l'utilisation du format JSON pour envoyer des requêtes à l'API DLP sont disponibles dans le guide de démarrage JSON.
Envoyer des données à la tâche hybride ou au déclencheur de tâche hybride
Pour inspecter des données, vous devez envoyer une requête hybridInspect
, au format correct, à un déclencheur de tâche hybride ou à un déclencheur de tâche hybride.
Mise en forme hybride des éléments de contenu
Voici un exemple simple de requête hybridInspect
envoyée à la protection des données sensibles pour traitement par une tâche hybride ou un déclencheur de tâche hybride.
Notez la structure de l'objet JSON, y compris le champ hybridItem
, qui contient les champs suivants:
item
: contient le contenu réel à inspecter.findingDetails
: contient les métadonnées à associer au contenu.
{
"hybridItem": {
"item": {
"value": "My email is test@example.org"
},
"findingDetails": {
"containerDetails": {
"fullPath": "10.0.0.2:logs1:app1",
"relativePath": "app1",
"rootPath": "10.0.0.2:logs1",
"type": "logging_sys",
"version": "1.2"
},
"labels": {
"env": "prod",
"appointment-bookings-comments": ""
}
}
}
}
Pour obtenir des informations complètes sur le contenu des éléments d'inspection hybrides, consultez le contenu de référence de l'API pour l'objet HybridContentItem
.
Points de terminaison d'inspection hybride
Pour que les données soient inspectées à l'aide d'une tâche hybride ou d'un déclencheur de tâche hybride, vous devez envoyer une requête hybridInspect
au point de terminaison approprié.
Méthode HTTP et URL pour les tâches hybrides
POST https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/REGION/dlpJobs/JOB_ID:hybridInspect
Pour plus d'informations sur ce point de terminaison, consultez la page de référence de l'API pour la méthode projects.locations.dlpJobs.hybridInspect
.
Méthode HTTP et URL pour les déclencheurs de tâches hybrides
https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/REGION/jobTriggers/TRIGGER_NAME:hybridInspect
Pour plus d'informations sur ce point de terminaison, consultez la page de référence de l'API pour la méthode projects.locations.jobTriggers.hybridInspect
.
Remplacez les éléments suivants :
- PROJECT_ID: identifiant de votre projet.
- REGION: région géographique dans laquelle vous souhaitez stocker la requête
hybridInspect
. Cette région doit être identique à celle du job hybride. JOB_ID: ID que vous avez attribué à la tâche hybride, précédé de
i-
.Pour rechercher l'ID de tâche, dans Protection des données sensibles, cliquez sur Inspection> Tâches d'inspection.
TRIGGER_NAME: nom que vous avez donné au déclencheur de tâche hybride.
Pour rechercher le nom du déclencheur de tâche, dans Protection des données sensibles, cliquez sur Inspection > Déclencheurs de tâche.
Exiger des étiquettes pour hybridInspect
requêtes
Si vous souhaitez contrôler les requêtes hybridInspect
pouvant être traitées par une tâche hybride ou un déclencheur de tâche hybride, vous pouvez définir les libellés requis. Toutes les requêtes hybridInspect
pour cette tâche hybride ou ce déclencheur de tâche hybride qui n'incluent pas ces libellés obligatoires sont refusées.
Pour définir une étiquette obligatoire, procédez comme suit:
Lors de la création de la tâche hybride ou du déclencheur de tâche hybride, définissez le champ
requiredFindingLabelKeys
sur la liste des étiquettes requises.L'exemple suivant définit
appointment-bookings-comments
comme libellé requis dans une tâche hybride ou un déclencheur de tâche hybride."hybridOptions": { ... "requiredFindingLabelKeys": [ "appointment-bookings-comments" ], "labels": { "env": "prod" }, ... }
Dans le champ
labels
de la requêtehybridInspect
, ajoutez chaque libellé requis en tant que clé dans une paire clé/valeur. La valeur correspondante peut être une chaîne vide.L'exemple suivant définit le libellé requis,
appointment-bookings-comments
, dans une requêtehybridInspect
.{ "hybridItem": { "item": { "value": "My email is test@example.org" }, "findingDetails": { "containerDetails": {...}, "labels": { "appointment-bookings-comments": "" } } } }
Si vous n'incluez pas l'étiquette requise dans la requête hybridInspect
, une erreur semblable à celle-ci s'affiche:
{ "error": { "code": 400, "message": "Trigger required labels that were not included: [appointment-bookings-comments]", "status": "INVALID_ARGUMENT" } }
Exemple de code: Créer un déclencheur de tâche hybride et lui envoyer des données
C#
Pour savoir comment installer et utiliser la bibliothèque cliente pour la protection des données sensibles, consultez Bibliothèques clientes pour la protection des données sensibles.
Pour vous authentifier auprès de la protection des données sensibles, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Go
Pour savoir comment installer et utiliser la bibliothèque cliente pour la protection des données sensibles, consultez Bibliothèques clientes pour la protection des données sensibles.
Pour vous authentifier auprès de la protection des données sensibles, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour savoir comment installer et utiliser la bibliothèque cliente pour la protection des données sensibles, consultez Bibliothèques clientes pour la protection des données sensibles.
Pour vous authentifier auprès de la protection des données sensibles, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Node.js
Pour savoir comment installer et utiliser la bibliothèque cliente pour la protection des données sensibles, consultez Bibliothèques clientes pour la protection des données sensibles.
Pour vous authentifier auprès de la protection des données sensibles, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
PHP
Pour savoir comment installer et utiliser la bibliothèque cliente pour la protection des données sensibles, consultez Bibliothèques clientes pour la protection des données sensibles.
Pour vous authentifier auprès de la protection des données sensibles, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour savoir comment installer et utiliser la bibliothèque cliente pour la protection des données sensibles, consultez Bibliothèques clientes pour la protection des données sensibles.
Pour vous authentifier auprès de la protection des données sensibles, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Scénarios d'inspection hybride typiques
Les sections suivantes décrivent des utilisations courantes de l'inspection hybride et les workflows correspondants.
Effectuer une analyse ponctuelle
Exécutez une analyse ponctuelle d'une base de données en dehors de Google Cloud dans le cadre d'une vérification trimestrielle des bases de données.
Créez une tâche hybride à l'aide de la console Google Cloud ou de l'API DLP.
Envoyez des données à la tâche en appelant
projects.locations.dlpJobs.hybridInspect
. Si vous souhaitez inspecter davantage de données, répétez cette étape autant de fois que nécessaire.Après avoir envoyé les données pour inspection, appelez la méthode
projects.locations.dlpJobs.finish
.La protection des données sensibles effectue les actions spécifiées dans votre requête
projects.locations.dlpJobs.create
.
Configurer une surveillance continue
Surveiller tout nouveau contenu ajouté quotidiennement à une base de données non compatible avec la protection des données sensibles de manière native
Créez un déclencheur de tâche hybride à l'aide de la console Google Cloud ou de l'API DLP.
Activez le déclencheur de tâche en appelant la méthode
projects.locations.jobTriggers.activate
.Envoyez des données au déclencheur de tâche en appelant
projects.locations.jobTriggers.hybridInspect
. Si vous souhaitez inspecter davantage de données, répétez cette étape autant de fois que nécessaire.
Dans ce cas, vous n'avez pas besoin d'appeler la méthode projects.locations.dlpJobs.finish
. La protection des données sensibles partitionne automatiquement les données que vous envoyez. Tant que le déclencheur de tâche est actif, à la fin de chaque journée, la protection des données sensibles effectue les actions que vous avez spécifiées lors de la création de votre déclencheur de tâche hybride.
Analyser les données entrant dans une base de données
analyser les données arrivant dans une base de données, tout en contrôlant la manière dont elles sont partitionnées ; Chaque tâche d'un déclencheur de tâche est une partition unique.
Créez un déclencheur de tâche hybride à l'aide de la console Google Cloud ou de l'API DLP.
Activez le déclencheur de tâche en appelant la méthode
projects.locations.jobTriggers.activate
.Le système renvoie l'ID d'une seule tâche. Vous en aurez besoin à l'étape suivante.
Envoyez des données à la tâche en appelant
projects.locations.dlpJobs.hybridInspect
.Dans ce cas, vous envoyez les données à la tâche au lieu du déclencheur de tâche. Cette approche vous permet de contrôler la manière dont les données que vous envoyez pour inspection sont partitionnées. Si vous souhaitez ajouter d'autres données à inspecter dans la partition actuelle, répétez cette étape.
Après avoir envoyé les données à la tâche, appelez la méthode
projects.locations.dlpJobs.finish
.La protection des données sensibles effectue les actions spécifiées dans votre requête
projects.locations.jobTriggers.create
.Si vous souhaitez créer une autre tâche pour la partition suivante, activez à nouveau le déclencheur de tâche, puis envoyez les données à la tâche obtenue.
Surveiller le trafic provenant d'un proxy
Surveiller le trafic provenant d'un proxy installé entre deux applications personnalisées
Créez un déclencheur de tâche hybride à l'aide de la console Google Cloud ou de l'API DLP.
Activez le déclencheur de tâche en appelant la méthode
projects.locations.jobTriggers.activate
.Envoyez des données au déclencheur de tâche en appelant
projects.locations.jobTriggers.hybridInspect
. Si vous souhaitez inspecter davantage de données, répétez cette étape autant de fois que nécessaire.Vous pouvez appeler cette requête indéfiniment pour tout le trafic réseau. Veillez à inclure des métadonnées dans chaque requête.
Dans ce cas, vous n'avez pas besoin d'appeler la méthode projects.locations.dlpJobs.finish
. La protection des données sensibles partitionne automatiquement les données que vous envoyez. Tant que le déclencheur de tâche est actif, à la fin de chaque journée, la protection des données sensibles effectue les actions que vous avez spécifiées lors de la création de votre déclencheur de tâche hybride.
Étapes suivantes
- En savoir plus sur le fonctionnement des tâches hybrides et déclencheurs de tâches hybrides