Cloud Data Loss Prevention (Cloud DLP) is now a part of Sensitive Data Protection. The API name remains the same: Cloud Data Loss Prevention API (DLP API). For information about the services that make up Sensitive Data Protection, see Sensitive Data Protection overview.

Diese Seite wurde von der Cloud Translation API übersetzt.

Profile für Cloud SQL-Daten in einer Organisation oder einem Ordner erstellen

Auf dieser Seite wird beschrieben, wie Sie die Cloud SQL-Datenerkennung auf Ebene einer Organisation oder eines Ordners konfigurieren. Informationen zum Erstellen von Profilen für ein Projekt finden Sie unter Profil für Cloud SQL-Daten in einem einzelnen Projekt erstellen.

Weitere Informationen zum Erkennungsdienst finden Sie unter Datenprofile.

Funktionsweise

Im Folgenden finden Sie einen allgemeinen Workflow zum Erstellen eines Profils für Cloud SQL-Daten:

Scankonfiguration erstellen

Nachdem Sie eine Scankonfiguration erstellt haben, identifiziert der Schutz sensibler Daten Ihre Cloud SQL-Instanzen und erstellt für jede Instanz eine Standardverbindung. Je nach Anzahl der Instanzen, die erkannt werden sollen, kann dieser Vorgang einige Stunden dauern. Sie können die Google Cloud Console verlassen und Ihre Verbindungen später prüfen.
Weisen Sie dem Dienst-Agent, der mit Ihrer Scankonfiguration verknüpft ist, die erforderlichen IAM-Rollen zu.
Wenn die Standardverbindungen bereit sind, gewähren Sie Sensitive Data Protection Zugriff auf Ihre Cloud SQL-Instanzen. Aktualisieren Sie dazu jede Verbindung mit den richtigen Anmeldedaten des Datenbanknutzers. Sie können vorhandene Datenbanknutzerkonten angeben oder Datenbanknutzer erstellen.

Hinweis: Bei Cloud SQL for PostgreSQL-Instanzen können Sie stattdessen den Dienst-Agent als Datenbanknutzer verwenden.
Empfohlen: Erhöhen Sie die maximale Anzahl von Verbindungen, die der Schutz sensibler Daten zum Profil Ihrer Daten verwenden kann. Durch mehr Verbindungen kann die Erkennung beschleunigt werden.

Unterstützte Dienste

Diese Funktion unterstützt Folgendes:

Cloud SQL for MySQL
Cloud SQL for PostgreSQL

Cloud SQL for SQL Server wird nicht unterstützt.

Preise und Kontingente

Für die Cloud SQL-Erkennung fallen bis zum 1. Februar 2024 keine Gebühren für den Schutz sensibler Daten an. Nach diesem Datum wird die Cloud SQL-Erkennung ähnlich wie die BigQuery-Erkennung abgerechnet.

Für die Nutzung anderer Google Cloud-Dienste im Zusammenhang mit der Datenprofilerstellung fallen weiterhin Gebühren an:

Gebühren für Secret Manager fallen jedes Mal an, wenn der Schutz sensibler Daten auf ein Secret zugreift. Zugriffsvorgänge werden ausgeführt, wenn der Schutz sensibler Daten ein Profil für die Tabellen erstellt und regelmäßig auf Aktualisierungen prüft.
Wenn Sie die Datenprofile in BigQuery speichern, fallen BigQuery-Gebühren an.

Hinweise

Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Organisationsebene erforderlich sind.

Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss jedoch ein Nutzer mit einer dieser Rollen Zugriff auf die Datenprofilerstellung für Ihren Dienst-Agent gewähren.
Sie müssen in jeder Region, in der Daten erstellt werden sollen, eine Inspektionsvorlage haben. Wenn Sie eine einzelne Vorlage für mehrere Regionen verwenden möchten, können Sie eine Vorlage verwenden, die in der Region global gespeichert ist. Wenn Sie aufgrund von Organisationsrichtlinien keine global-Inspektionsvorlage erstellen können, müssen Sie für jede Region eine eigene Inspektionsvorlage festlegen. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Mit dieser Aufgabe können Sie eine Inspektionsvorlage nur in der Region global erstellen. Wenn Sie dedizierte Inspektionsvorlagen für eine oder mehrere Regionen benötigen, müssen Sie diese Vorlagen erstellen, bevor Sie diese Aufgabe ausführen.
Sie können den Schutz sensibler Daten so konfigurieren, dass bei bestimmten Ereignissen Benachrichtigungen an Pub/Sub gesendet werden, z. B. wenn der Schutz sensibler Daten ein Profil für eine neue Tabelle erstellt. Wenn Sie dieses Feature verwenden möchten, müssen Sie zuerst ein Pub/Sub-Thema erstellen.

Zum Generieren von Datenprofilen benötigen Sie einen Dienst-Agent-Container und einen Dienst-Agent. Mit dieser Aufgabe können Sie sie automatisch erstellen.

Scankonfiguration erstellen

Rufen Sie die Seite Scankonfiguration erstellen auf.

Zur Seite „Scankonfiguration erstellen”
Rufen Sie Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihre Organisation aus.

In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scankonfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.

Erkennungstyp auswählen

Wählen Sie Cloud SQL aus.

Bereich auswählen

Führen Sie einen der folgenden Schritte aus:

Wählen Sie zum Konfigurieren der Profilerstellung auf Organisationsebene die Option Gesamte Organisation scannen aus.
Wählen Sie Ausgewählten Ordner scannen aus, um die Profilerstellung auf Ordnerebene zu konfigurieren. Klicken Sie auf Durchsuchen und wählen Sie den Ordner aus.

Zeitpläne verwalten

Wenn die Standardhäufigkeit der Profilerstellung Ihren Anforderungen entspricht, können Sie diesen Abschnitt auf der Seite Scankonfiguration erstellen überspringen. Dieser Abschnitt ist nützlich, wenn Sie die Profilerstellungshäufigkeit aller Daten oder bestimmter Teilmengen Ihrer Daten detailliert anpassen möchten. Sie ist auch nützlich, wenn Sie nicht möchten, dass für bestimmte Tabellen jemals ein Profil erstellt wird, oder wenn Sie möchten, dass für bestimmte Tabellen nur ein einziges Mal ein Profil erstellt wird.

In diesem Abschnitt erstellen Sie Filter, um bestimmte Teilmengen Ihrer Daten anzugeben, die von Interesse sind. Für diese Teilmengen legen Sie fest, ob und wie oft der Schutz sensibler Daten ein Profil für die Tabellen erstellen soll. Hier geben Sie auch die Arten von Änderungen an, die dazu führen, dass das Profil einer Tabelle neu erstellt wird. Schließlich geben Sie alle Bedingungen an, die jede Tabelle in den Teilmengen erfüllen muss, bevor der Schutz sensibler Daten mit der Profilerstellung für die Tabelle beginnt.

So nehmen Sie fein abgestimmte Anpassungen der Profilerstellungshäufigkeit vor:

Klicken Sie auf Zeitplan hinzufügen.
Im Bereich Filter definieren Sie einen oder mehrere Filter, die angeben, welche Tabellen in den Bereich des Zeitplans aufgenommen werden.

Geben Sie mindestens eine der folgenden Optionen an:
- Eine Projekt-ID oder ein regulärer Ausdruck, der ein oder mehrere Projekte angibt.
- Eine Instanz-ID oder ein regulärer Ausdruck, der eine oder mehrere Instanzen angibt.
- Eine Datenbank-ID oder ein regulärer Ausdruck, der eine oder mehrere Datenbanken angibt.
- Eine Tabellen-ID oder ein regulärer Ausdruck, der eine oder mehrere Tabellen angibt. Geben Sie diesen Wert in das Feld Name der Datenbankressource oder regulärer Ausdruck ein.
Reguläre Ausdrücke müssen der RE2-Syntax entsprechen.

Wenn beispielsweise alle Tabellen in einer Datenbank im Filter einbezogen werden sollen, geben Sie die Datenbank-ID in das Feld Datenbank-ID ein.

Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.
Klicken Sie auf Häufigkeit.
Geben Sie im Abschnitt Häufigkeit an, ob der Erkennungsdienst ein Profil für die ausgewählten Tabellen erstellen soll. Wenn ja, wie oft:
- Wenn für die Tabellen kein Profil erstellt werden soll, deaktivieren Sie Profil für diese Daten erstellen.
- Wenn für die Tabellen mindestens einmal ein Profil erstellt werden soll, lassen Sie Diese Daten erstellen aktiviert.
  
  In den nachfolgenden Feldern dieses Abschnitts geben Sie an, ob das System ein neues Profil für Ihre Daten erstellen soll und welche Ereignisse eine Profilneuerstellung auslösen sollen. Weitere Informationen finden Sie unter Häufigkeit der Datenprofilerstellung.
  1. Geben Sie unter Nach Zeitplan an, wie oft das Profil für die Tabellen neu erstellt werden soll. Das Profil der Tabellen wird neu erstellt, unabhängig davon, ob Änderungen daran vorgenommen wurden.
  2. Geben Sie unter Bei Schemaänderungen an, wie oft der Schutz sensibler Daten prüfen soll, ob die ausgewählten Tabellen nach der letzten Profilerstellung Schemaänderungen hatten. Das Profil wird nur für Tabellen mit Schemaänderungen neu erstellt.
  3. Geben Sie unter Arten von Schemaänderungen an, welche Arten von Schemaänderungen eine Profilneuerstellung auslösen sollen. Wählen Sie eine der folgenden Optionen aus:
    - Neue Spalten: Erstellen Sie ein neues Profil für die Tabellen, für die neue Spalten vorhanden sind.
    - Entfernte Spalten: Erstellen Sie ein neues Profil für die Tabellen, in denen Spalten entfernt wurden.
    Angenommen, Sie haben Tabellen, die jeden Tag neue Spalten erhalten, und Sie müssen jedes Mal ein Profil für ihren Inhalt erstellen. Sie können für Bei Schemaänderungen die Option Profil täglich neu erstellen auswählen und unter Arten von Schemaänderungen die Option Neue Spalten auswählen.
  4. Geben Sie unter Wenn sich die Prüfungsvorlage ändert an, ob das Profil für die Daten neu erstellt werden soll, wenn die zugehörige Inspektionsvorlage aktualisiert wird, und wenn ja, wie oft.
    Hinweis: Die zu verwendenden Inspektionsvorlagen werden auf dieser Seite im Schritt Inspektionsvorlage auswählen angegeben.
    
    Eine Änderung der Prüfungsvorlage wird in folgenden Fällen erkannt:
    - Der Name einer Inspektionsvorlage ändert sich in der Scankonfiguration.
    - Der updateTime einer Inspektionsvorlage ändert sich.
Klicken Sie auf Bedingungen.

Im Abschnitt Bedingungen geben Sie die Typen von Datenbankressourcen an, für die ein Profil erstellt werden soll. Standardmäßig ist der Schutz sensibler Daten so eingestellt, dass Profile für alle unterstützten Datenbankressourcentypen erstellt werden. Wenn der Schutz sensibler Daten weitere Typen von Datenbankressourcen unterstützt, wird auch für diese Typen automatisch ein Profil erstellt.
Optional: Wenn Sie die Typen der Datenbankressourcen, für die ein Profil erstellt werden soll, explizit festlegen möchten, gehen Sie so vor:
1. Klicken Sie auf das Feld Datenbankressourcentypen.
2. Wählen Sie die Typen der Datenbankressourcen aus, für die Sie ein Profil erstellen möchten.
Wenn der Schutz sensibler Daten später die Erkennungsunterstützung für weitere Cloud SQL-Datenbankressourcentypen hinzufügt, wird für diese Typen nur dann ein Profil erstellt, wenn Sie zu dieser Liste zurückkehren und sie auswählen.
Klicken Sie auf Fertig.
Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.
Wenn Sie die Zeitpläne nach Priorität neu anordnen möchten, verwenden Sie den -Aufwärts- und den -Abwärtspfeil. Wenn beispielsweise die Filter in zwei verschiedenen Zeitplänen mit Tabelle A übereinstimmen, hat der in der Prioritätsliste höhere Zeitplan Vorrang.

Der letzte Zeitplan in der Liste ist immer der mit Standardzeitplan gekennzeichnete Zeitplan. Dieser Standardzeitplan deckt die Tabellen in der ausgewählten Ressource (Organisation oder Ordner) ab, die keinem der von Ihnen erstellten Zeitpläne entsprechen. Dieser Standardzeitplan folgt der Standardhäufigkeit der Systemprofilerstellung.
Wenn Sie den Standardzeitplan anpassen möchten, klicken Sie auf Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.

Inspektionsvorlage auswählen

Je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten, wählen Sie eine der folgenden Optionen aus. Unabhängig von der ausgewählten Option scannt der Schutz sensibler Daten Ihre Daten in der Region, in der sie gespeichert sind. Ihre Daten verlassen also nicht ihre Ursprungsregion.

Option 1: Inspektionsvorlage erstellen

Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

Klicken Sie auf Neue Inspektionsvorlage erstellen.
Optional: Klicken Sie auf infoTypes verwalten, um die Standardauswahl von infoTypes zu ändern.

Weitere Informationen zum Verwalten von integrierten und benutzerdefinierten infoTypes in diesem Abschnitt finden Sie unter infoTypes über die Google Cloud Console verwalten.

Sie müssen mindestens einen infoType ausgewählt haben, um fortzufahren.
Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global gespeichert.

Option 2: Vorhandene Inspektionsvorlage verwenden

Wählen Sie diese Option aus, wenn Sie bereits Inspektionsvorlagen haben, die Sie verwenden möchten.

Klicken Sie auf Vorhandene Inspektionsvorlage wählen.
Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der Ihre Inspektionsvorlage gespeichert ist.

Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region wie die Daten befinden, für die ein Profil erstellt werden soll. Um den Datenstandort einzuhalten, verwendet der Schutz sensibler Daten keine Inspektionsvorlage außerhalb seiner eigenen Region.

So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:
1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.
  
  Inspektionsvorlagen aufrufen
2. Wechseln Sie zu dem Projekt, das die Inspektionsvorlage enthält, die Sie verwenden möchten.
3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.
4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat folgendes Format:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. Fügen Sie auf der Seite Scankonfiguration erstellen in das Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.
Wenn Sie Daten in einer anderen Region und eine Inspektionsvorlage haben, die Sie für diese Region verwenden möchten, gehen Sie so vor:
1. Klicken Sie auf Inspektionsvorlage hinzufügen.
2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein.
Wiederholen Sie diese Schritte für jede Region, in der Sie eine dedizierte Inspektionsvorlage haben.
Optional: Fügen Sie eine Inspektionsvorlage hinzu, die in der Region global gespeichert ist. Der Schutz sensibler Daten verwendet diese Vorlage automatisch für Daten in Regionen, in denen Sie keine dedizierte Inspektionsvorlage haben.

Achtung: Wenn Sie keine Inspektionsvorlage angeben, die in der Region global gespeichert ist, kann der Schutz sensibler Daten kein Profil für Daten in Regionen erstellen, für die es keine dedizierte Prüfungsvorlage gibt. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Aktionen hinzufügen

In den folgenden Abschnitten geben Sie Aktionen an, die der Schutz sensibler Daten nach dem Generieren der Datenprofile ausführen soll.

Weitere Informationen dazu, welche Kosten für das Konfigurieren von Aktionen bei anderen Google Cloud-Diensten anfallen, finden Sie unter Preise für das Exportieren von Datenprofilen.

In Chronicle veröffentlichen

Messwerte aus Datenprofilen können Ihren Chronicle-Ergebnissen Kontext hinzufügen. Der zusätzliche Kontext kann Ihnen helfen, die wichtigsten Sicherheitsprobleme zu ermitteln, die Sie beheben müssen. Wenn Sie beispielsweise einen bestimmten Dienst-Agent in Chronicle untersuchen, können Datenprofile Aufschluss darüber geben, ob dieser Dienst-Agent Zugriff auf Tabellen mit hohem Datenrisiko hat.

Aktivieren Sie In Chronicle veröffentlichen, um Ihre Datenprofile an Ihr Chronicle-Konto zu senden.

Wenn Chronicle für Ihre Organisation nicht aktiviert ist, hat die Aktivierung dieser Option keine Auswirkungen.

In Security Command Center veröffentlichen

Mit dieser Aktion können Sie die berechneten Datenrisiko- und Vertraulichkeitsstufen von Tabellendatenprofilen an Security Command Center senden.

Security Command Center ist der zentrale Dienst für die Meldung von Sicherheitslücken und Bedrohungen in Google Cloud. Sie können Informationen aus Datenprofilen verwenden, wenn Sie in Security Command Center Abwehrpläne für Ihre Sicherheitslücken und gefundenen Bedrohungen entwickeln und sondieren.

Bevor Sie diese Aktion verwenden können, muss Security Command Center auf Organisationsebene aktiviert werden. Wenn Sie Security Command Center auf Organisationsebene aktivieren, können die Ergebnisse von integrierten Diensten wie dem Schutz sensibler Daten verarbeitet werden. Der Schutz sensibler Daten funktioniert sowohl mit Security Command Center Standard als auch mit Premium.

Wenn Security Command Center nicht auf Organisationsebene aktiviert ist, werden die Ergebnisse für den Schutz sensibler Daten nicht in Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.

Damit die Ergebnisse Ihrer Datenprofile an Security Command Center gesendet werden, muss die Option In Security Command Center veröffentlichen aktiviert sein.

Weitere Informationen finden Sie unter Datenprofile in Security Command Center veröffentlichen.

Datenprofilkopien in BigQuery speichern

Wenn Sie Datenprofilkopien in BigQuery speichern aktivieren, können Sie eine Kopie oder den Verlauf aller generierten Profile speichern. Dies kann hilfreich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

Außerdem können Sie mit dieser Option alle Datenprofile in einer einzigen Ansicht ansehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Wenn Sie diese Option deaktivieren, können Sie die Datenprofile weiterhin in Ihrem Dashboard ansehen. In Ihrem Dashboard wählen Sie jedoch jeweils nur eine Region aus und sehen nur die Datenprofile für diese Region.

So exportieren Sie Kopien der Datenprofile in eine BigQuery-Tabelle:

Aktivieren Sie Datenprofilkopien in BigQuery speichern.
Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Datenprofile speichern möchten:
- Geben Sie unter Projekt-ID die ID eines vorhandenen Projekts ein, in das Datenprofile exportiert werden sollen.
- Geben Sie als Dataset-ID den Namen eines vorhandenen Datasets in dem Projekt ein, in das die Datenprofile exportiert werden sollen.
- Geben Sie als Tabellen-ID einen Namen für die BigQuery-Tabelle ein, in die Datenprofile exportiert werden sollen. Wenn Sie diese Tabelle nicht erstellt haben, wird sie vom Schutz sensibler Daten automatisch anhand des von Ihnen angegebenen Namens erstellt.

Der Schutz sensibler Daten beginnt mit dem Export von Profilen, sobald Sie diese Option aktivieren. Profile, die vor dem Aktivieren des Exports generiert wurden, werden nicht in BigQuery gespeichert.

In Pub/Sub veröffentlichen

Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie auf Grundlage der Ergebnisse der Profilerstellung programmatische Aktionen ausführen. Sie können Pub/Sub-Benachrichtigungen verwenden, um einen Workflow zum Erkennen und Beheben von Ergebnissen mit einem erheblichen Datenrisiko oder -vertraulichkeit zu entwickeln.

So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

Aktivieren Sie In Pub/Sub veröffentlichen.

Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das dazu führt, dass der Schutz sensibler Daten eine Benachrichtigung an Pub/Sub sendet.
Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, sendet der Schutz sensibler Daten eine Benachrichtigung, wenn sich die folgenden Messwerte auf Tabellenebene ändern:
- Datenrisiko
- Sensitivity (Vertraulichkeit)
- Vorhergesagte infoTypes
- Andere infoTypes
- Öffentlich
- Verschlüsselung
Führen Sie für jedes ausgewählte Ereignis die folgenden Schritte aus:
1. Geben Sie den Namen des Themas ein. Der Name muss das folgende Format haben:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Ersetzen Sie Folgendes:
  - PROJECT_ID: die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
  - TOPIC_ID: die ID des Pub/Sub-Themas.
2. Geben Sie an, ob die Benachrichtigung das vollständige Tabellenprofil oder nur den vollständigen Ressourcennamen der Tabelle enthält, für die ein Profil erstellt wurde.
3. Legen Sie die minimalen Datenrisiko- und Vertraulichkeitsstufen fest, die erreicht werden müssen, damit der Schutz sensibler Daten eine Benachrichtigung senden kann.
4. Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiko und Vertraulichkeit erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl das Datenrisiko als auch die Vertraulichkeitsbedingungen erfüllt sein, bevor der Schutz sensibler Daten eine Benachrichtigung sendet.

Hinweis : Der Dienst-Agent muss Veröffentlichungszugriff auf das Pub/Sub-Thema haben. Ein Beispiel für eine Rolle mit Veröffentlichungszugriff ist die Pub/Sub-Publisher-Rolle (roles/pubsub.publisher). Wenn Sie noch keinen Dienst-Agent haben, können Sie mit dem Schutz sensibler Daten später auf der Seite Scankonfiguration erstellen einen erstellen. Wenn es Konfigurations- oder Berechtigungsprobleme mit dem Pub/Sub-Thema gibt, wiederholt der Schutz sensibler Daten bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.

Dienst-Agent-Container und Abrechnung verwalten

In diesem Abschnitt geben Sie das Projekt an, das als Dienst-Agent-Container verwendet werden soll. Sie können den Schutz sensibler Daten automatisch ein neues Projekt erstellen lassen oder ein vorhandenes Projekt auswählen.

Wenn Sie keinen Dienst-Agent-Container haben, wählen Sie Neues Projekt als Dienst-Agent-Container erstellen aus.

Der Schutz sensibler Daten erstellt ein neues Projekt mit dem Namen DLP-Dienst-Agent-Container. Der Dienst-Agent in diesem Projekt wird zur Authentifizierung beim Schutz sensibler Daten und anderer APIs verwendet. Sie werden aufgefordert, das Konto auszuwählen, über das alle kostenpflichtigen Vorgänge im Zusammenhang mit diesem Projekt abgerechnet werden, einschließlich solcher, die nicht in Verbindung mit der Datenprofilerstellung stehen.

Wenn Sie nicht die erforderlichen Berechtigungen zum Erstellen von Projekten haben, ist diese Option deaktiviert. Informationen zu den erforderlichen Berechtigungen finden Sie unter Erforderliche Rollen für die Arbeit mit Datenprofilen auf Organisations- oder Ordnerebene.
Wenn Sie bereits einen Dienst-Agent-Container haben, den Sie wiederverwenden möchten, wählen Sie Vorhandenen Dienst-Agent-Container auswählen aus. Klicken Sie dann auf Browse (Durchsuchen), um die Projekt-ID des Dienst-Agent-Containers auszuwählen.

Unabhängig davon, ob Sie einen neu erstellten Dienst-Agent oder einen vorhandenen verwenden, muss er Lesezugriff auf die Daten haben, für die ein Profil erstellt werden soll.

Speicherort für Konfiguration festlegen

Klicken Sie auf die Liste Ressourcenstandort und wählen Sie die Region aus, in der die Scankonfiguration gespeichert werden soll. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.

Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Außerdem hat dies keinen Einfluss darauf, wo die Datenprofile gespeichert werden. Ihre Daten werden in derselben Region gescannt, in der sie gespeichert sind. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Überprüfen und erstellen

Wenn Sie sicherstellen möchten, dass die Profilerstellung nach dem Erstellen der Scankonfiguration nicht automatisch startet, wählen Sie Scan im pausierten Modus erstellen aus.

Diese Option ist in folgenden Fällen nützlich:
- Der Google Cloud-Administrator muss dem Dienst-Agent weiterhin Zugriff auf die Datenprofilerstellung gewähren.
- Sie möchten mehrere Scankonfigurationen erstellen und einige Konfigurationen überschreiben.
- Sie haben sich dafür entschieden, Datenprofile in BigQuery zu speichern, und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf Ihre Ausgabetabelle hat.
- Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Dienst-Agent Veröffentlichungszugriff gewähren.
Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.

Der Schutz sensibler Daten erstellt die Scankonfiguration und fügt sie der Liste der Scankonfigurationen für die Erkennung hinzu.

Informationen zum Aufrufen oder Verwalten Ihrer Scankonfigurationen finden Sie unter Scankonfigurationen verwalten.

Der Schutz sensibler Daten beginnt mit der Identifizierung der Cloud SQL-Instanzen und dem Erstellen einer Standardverbindung für jede Instanz. Je nach Anzahl der Instanzen, die erkannt werden sollen, kann dieser Vorgang einige Stunden dauern. Sie können die Google Cloud Console beenden und Ihre Verbindungen später prüfen.

Wenn die Standardverbindungen bereit sind, aktualisieren Sie diese Verbindungen mit den Datenbanknutzeranmeldedaten, die der Schutz sensibler Daten verwenden soll, um ein Profil für Ihre Cloud SQL-Instanzen zu erstellen. Weitere Informationen finden Sie unter Verbindungen zur Verwendung mit Discovery verwalten.

Nächste Schritte

Informationen zum Aktualisieren Ihrer Verbindungen