Membuat profil data Cloud SQL di organisasi atau folder

Halaman ini menjelaskan cara mengonfigurasi penemuan data Cloud SQL di tingkat organisasi atau folder. Jika Anda ingin membuat profil project, lihat Membuat profil data Cloud SQL dalam satu project.

Untuk informasi selengkapnya tentang layanan penemuan, lihat Profil data.

Cara kerjanya

Berikut ini adalah alur kerja tingkat tinggi untuk pembuatan profil data Cloud SQL:

  1. Membuat konfigurasi pemindaian.

    Setelah Anda membuat konfigurasi pemindaian, Sensitive Data Protection mulai mengidentifikasi instance Cloud SQL Anda dan membuat koneksi default untuk setiap instance. Bergantung pada jumlah instance dalam cakupan penemuan, proses ini dapat memerlukan waktu beberapa jam. Anda dapat keluar dari Konsol Google Cloud dan memeriksa koneksi Anda nanti.

  2. Berikan peran IAM yang diperlukan ke agen layanan yang terkait dengan konfigurasi pemindaian Anda.

  3. Saat koneksi default sudah siap, berikan akses Perlindungan Data Sensitif ke instance Cloud SQL Anda dengan memperbarui setiap koneksi dengan kredensial pengguna database yang tepat. Anda dapat memberikan akun pengguna database yang ada atau membuat pengguna database.

  4. Direkomendasikan: Tingkatkan jumlah maksimum koneksi yang dapat digunakan Perlindungan Data Sensitif untuk membuat profil data Anda. Meningkatkan koneksi dapat mempercepat penemuan.

Layanan yang didukung

Fitur ini mendukung hal berikut:

  • Cloud SQL untuk MySQL
  • Cloud SQL untuk PostgreSQL

Cloud SQL untuk SQL Server tidak didukung.

Harga dan kuota

Penemuan Cloud SQL bebas biaya Perlindungan Data Sensitif hingga 1 Februari 2024. Setelah tanggal tersebut, penemuan Cloud SQL akan dikenai biaya yang serupa dengan penemuan BigQuery.

Penggunaan Anda atas layanan Google Cloud lain yang terkait dengan profiling data tetap dikenai biaya:

  • Biaya Secret Manager berlaku setiap kali Perlindungan Data Sensitif mengakses secret. Operasi akses terjadi saat Perlindungan Data Sensitif membuat profil tabel Anda dan secara berkala memeriksa pembaruan.

  • Jika Anda menyimpan profil data di BigQuery, Anda akan dikenai biaya BigQuery.

Sebelum memulai

  1. Pastikan Anda memiliki izin IAM yang diperlukan untuk mengonfigurasi profil data di level organisasi.

    Jika tidak memiliki peran Organization Administrator (roles/resourcemanager.organizationAdmin) atau Security Admin (roles/iam.securityAdmin), Anda masih dapat membuat konfigurasi pemindaian. Namun, setelah Anda membuat konfigurasi pemindaian, seseorang yang memiliki salah satu peran tersebut harus memberikan akses pembuatan profil data ke agen layanan Anda.

  2. Anda harus memiliki template inspeksi di setiap region tempat Anda memiliki data untuk dibuat profilnya. Jika ingin menggunakan satu template untuk beberapa region, Anda dapat menggunakan template yang disimpan di region global. Jika kebijakan organisasi mencegah Anda membuat template inspeksi global, Anda harus menetapkan template inspeksi khusus untuk setiap region. Untuk mengetahui informasi selengkapnya, lihat Pertimbangan residensi data.

    Tugas ini memungkinkan Anda membuat template inspeksi di region global saja. Jika memerlukan template inspeksi khusus untuk satu atau beberapa region, Anda harus membuat template tersebut sebelum melakukan tugas ini.

  3. Anda dapat mengonfigurasi Perlindungan Data Sensitif untuk mengirim notifikasi ke Pub/Sub saat peristiwa tertentu terjadi, seperti saat membuat profil Perlindungan Data Sensitif sebagai tabel baru. Jika ingin menggunakan fitur ini, Anda harus membuat topik Pub/Sub terlebih dahulu.

Untuk membuat profil data, Anda memerlukan penampung agen layanan dan agen layanan di dalamnya. Tugas ini memungkinkan Anda membuatnya secara otomatis.

Membuat konfigurasi pemindaian

  1. Buka halaman Buat konfigurasi pemindaian.

    Buka Buat konfigurasi pemindaian

  2. Buka organisasi Anda. Pada toolbar, klik pemilih project, lalu pilih organisasi Anda.

Bagian berikut memberikan informasi selengkapnya tentang langkah-langkah di halaman Membuat konfigurasi pemindaian. Di akhir setiap bagian, klik Lanjutkan.

Pilih jenis penemuan

Pilih Cloud SQL.

Pilih cakupan

Lakukan salah satu hal berikut:

  • Untuk mengonfigurasi pembuatan profil di tingkat organisasi, pilih Scan entire organization.
  • Untuk mengonfigurasi pembuatan profil pada level folder, pilih Scan selected folder. Klik Browse, lalu pilih folder.

Kelola jadwal

Jika frekuensi pembuatan profil default sesuai dengan kebutuhan, Anda dapat melewati bagian ini pada halaman Buat konfigurasi pemindaian. Bagian ini berguna jika Anda ingin membuat penyesuaian terperinci pada frekuensi pembuatan profil semua data atau subset data tertentu. Cara ini juga berguna jika Anda tidak ingin tabel tertentu dibuat profilnya, atau Anda ingin membuat profil sekali dan tidak pernah lagi.

Di bagian ini, Anda akan membuat filter untuk menentukan subkumpulan data tertentu yang menarik. Untuk subkumpulan ini, Anda menentukan apakah Perlindungan Data Sensitif harus membuat profil tabel dan seberapa sering. Di sini, Anda juga menentukan jenis perubahan yang harus menyebabkan tabel dibuat ulang. Terakhir, tentukan kondisi yang harus dipenuhi setiap tabel dalam subset sebelum Perlindungan Data Sensitif memulai pembuatan profil tabel.

Untuk melakukan penyesuaian mendetail pada frekuensi pembuatan profil, ikuti langkah-langkah berikut:

  1. Klik Tambahkan jadwal.
  2. Di bagian Filter, Anda menentukan satu atau beberapa filter yang menentukan tabel mana yang berada dalam cakupan jadwal.

    Tentukan minimal salah satu hal berikut:

    • Project ID atau ekspresi reguler yang menentukan satu atau beberapa project.
    • ID instance atau ekspresi reguler yang menentukan satu atau beberapa instance.
    • ID database atau ekspresi reguler yang menentukan satu atau beberapa database.
    • ID tabel atau ekspresi reguler yang menentukan satu atau beberapa tabel. Masukkan nilai ini di kolom Database resource name or regular expression.

    Ekspresi reguler harus mengikuti sintaksis RE2.

    Misalnya, jika Anda ingin semua tabel dalam database disertakan dalam filter, masukkan ID database di kolom Database ID.

    Jika Anda ingin menambahkan filter lainnya, klik Tambahkan filter dan ulangi langkah ini.

  3. Klik Frekuensi.

  4. Di bagian Frequency, tentukan apakah layanan penemuan harus membuat profil tabel yang Anda pilih, dan jika ya, seberapa sering:

    • Jika Anda tidak ingin tabel dibuat profilnya, nonaktifkan Buat profil data ini.

    • Jika Anda ingin tabel dibuat profilnya minimal satu kali, biarkan Lakukan profil pada data ini.

      Di kolom berikutnya di bagian ini, Anda akan menentukan apakah sistem harus membuat ulang data Anda dan peristiwa apa yang harus memicu operasi pembuatan ulang profil. Untuk mengetahui informasi selengkapnya, lihat Frekuensi pembuatan profil data.

      1. Untuk On a schedule, tentukan seberapa sering Anda ingin tabel dibuat ulang. Tabel dibuat ulang terlepas dari apakah tabel tersebut mengalami perubahan atau tidak.
      2. Untuk bagian Saat skema berubah, tentukan seberapa sering Perlindungan Data Sensitif harus memeriksa apakah tabel yang dipilih mengalami perubahan skema setelah terakhir dibuat profilnya. Hanya tabel dengan perubahan skema yang akan dibuat ulang profil.
      3. Untuk Jenis perubahan skema, tentukan jenis perubahan skema yang akan memicu operasi pembuatan ulang profil. Pilih salah satu opsi berikut:
        • Kolom baru: Membuat profil ulang tabel yang memperoleh kolom baru.
        • Kolom yang dihapus: Buat profil ulang tabel yang kolomnya telah dihapus.

        Misalnya, Anda memiliki tabel yang mendapatkan kolom baru setiap hari, dan Anda perlu membuat profil kontennya setiap saat. Anda dapat menetapkan Kapan skema berubah ke Reprofile daily, dan menetapkan Types of schema change ke New columns.

      4. Untuk Ketika memeriksa perubahan template, tentukan apakah Anda ingin data Anda dibuat ulang profil saat template inspeksi terkait diperbarui, dan jika ya, seberapa sering.

        Perubahan template pemeriksaan terdeteksi saat salah satu dari hal berikut terjadi:

        • Nama template pemeriksaan berubah dalam konfigurasi pemindaian Anda.
        • updateTime template pemeriksaan berubah.

      5. Misalnya, jika Anda menetapkan template inspeksi untuk region us-west1 dan memperbarui template inspeksi tersebut, hanya data di region us-west1 yang akan dibuat ulang. Namun, jika Anda menghapus template inspeksi tersebut, data di us-west1 tidak akan dibuat ulang profil, karena tidak ada template inspeksi yang dapat digunakan untuk membuat ulang profilnya.

  5. Klik Kondisi.

    Di bagian Conditions, tentukan jenis resource database yang ingin Anda buat profil. Secara default, Sensitive Data Protection ditetapkan ke profil untuk semua jenis resource database yang didukung. Saat Perlindungan Data Sensitif menambahkan dukungan untuk lebih banyak jenis resource database, jenis tersebut juga akan otomatis dibuat profilnya.

  6. Opsional: Jika Anda ingin menetapkan secara eksplisit jenis resource database yang ingin diprofilkan, ikuti langkah-langkah berikut:

    1. Klik kolom Database resource types.
    2. Pilih jenis resource database yang ingin Anda buat profil.

    Jika Perlindungan Data Sensitif menambahkan dukungan penemuan untuk lebih banyak jenis resource database Cloud SQL, jenis tersebut hanya akan dibuat profilnya jika Anda kembali ke daftar ini dan memilihnya.

  7. Klik Done.

  8. Jika Anda ingin menambahkan jadwal lainnya, klik Tambahkan jadwal dan ulangi langkah-langkah sebelumnya.

  9. Untuk menyusun ulang jadwal sesuai prioritas, gunakan panah atas dan panah bawah. Misalnya, jika filter dalam dua jadwal berbeda cocok dengan Tabel A, jadwal yang lebih tinggi pada daftar prioritas akan lebih diprioritaskan.

    Jadwal terakhir dalam daftar selalu berlabel Jadwal default. Jadwal default ini mencakup tabel di resource (organisasi atau folder) yang dipilih yang tidak cocok dengan jadwal yang Anda buat. Jadwal default ini mengikuti frekuensi pembuatan profil default sistem.

  10. Jika Anda ingin menyesuaikan jadwal default, klik Edit jadwal, dan sesuaikan setelan sesuai kebutuhan.

Pilih template pemeriksaan

Bergantung pada cara Anda ingin menyediakan konfigurasi pemeriksaan, pilih salah satu opsi berikut. Terlepas dari opsi yang Anda pilih, Perlindungan Data Sensitif memindai data Anda di region tempat data tersebut disimpan. Artinya, data Anda tidak dikirim ke region asalnya.

Opsi 1: Membuat template inspeksi

Pilih opsi ini jika Anda ingin membuat template inspeksi baru di region global.

  1. Klik Create new inspection template.
  2. Opsional: Untuk mengubah pilihan infoTypes default, klik Kelola infoTypes.

    Untuk mengetahui informasi selengkapnya tentang cara mengelola infoTypes bawaan dan kustom di bagian ini, lihat Mengelola infoTypes melalui Konsol Google Cloud.

    Anda harus memilih setidaknya satu infoType untuk melanjutkan.

  3. Opsional: Konfigurasi template pemeriksaan lebih lanjut dengan menambahkan kumpulan aturan dan menetapkan nilai minimum keyakinan. Untuk mengetahui informasi lebih lanjut, lihat Mengonfigurasi deteksi.

    Saat membuat konfigurasi pemindaian, Sensitive Data Protection akan menyimpan template pemeriksaan baru ini di region global.

Opsi 2: Gunakan template pemeriksaan yang ada

Pilih opsi ini jika Anda memiliki template pemeriksaan yang ingin digunakan.

  1. Klik Select existing inspection template.

  2. Masukkan nama resource lengkap template pemeriksaan yang ingin Anda gunakan. Kolom Region diisi otomatis dengan nama wilayah tempat template inspeksi Anda disimpan.

    Template pemeriksaan yang Anda masukkan harus berada di region yang sama dengan data yang akan dibuat profilnya. Untuk mematuhi residensi data, Sensitive Data Protection tidak menggunakan template pemeriksaan di luar regionnya sendiri.

    Untuk menemukan nama resource lengkap dari template pemeriksaan, ikuti langkah-langkah berikut:

    1. Buka daftar template inspeksi. Halaman ini akan terbuka di tab terpisah.

      Buka template pemeriksaan

    2. Beralihlah ke project yang berisi template pemeriksaan yang ingin Anda gunakan.

    3. Di tab Templates, klik ID template yang ingin Anda gunakan.

    4. Pada halaman yang terbuka, salin nama resource lengkap template. Nama resource lengkap akan mengikuti format berikut:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Di halaman Create Scan configuration, di kolom Template name, tempel nama lengkap resource template.

  3. Jika Anda memiliki data di wilayah lain, dan memiliki template pemeriksaan yang ingin digunakan untuk wilayah tersebut, ikuti langkah-langkah berikut:

    1. Klik Add inspection template.
    2. Masukkan nama resource lengkap template pemeriksaan.

    Ulangi langkah-langkah ini untuk setiap wilayah tempat Anda memiliki template inspeksi khusus.

  4. Opsional: Tambahkan template inspeksi yang disimpan di region global. Perlindungan Data Sensitif otomatis menggunakan template tersebut untuk data di wilayah tempat Anda tidak memiliki template pemeriksaan khusus.

Tambah tindakan

Di bagian berikut, Anda menentukan tindakan yang Anda inginkan untuk dilakukan oleh Perlindungan Data Sensitif setelah membuat profil data.

Untuk mengetahui informasi tentang kemungkinan biaya yang dikenakan oleh layanan Google Cloud lainnya atas konfigurasi tindakan, lihat Harga untuk mengekspor profil data.

Publikasikan ke Chronicle

Metrik yang dikumpulkan dari profil data dapat menambahkan konteks ke temuan Chronicle Anda. Konteks tambahan dapat membantu Anda menentukan masalah keamanan terpenting yang harus diatasi. Misalnya, jika Anda sedang menyelidiki agen layanan tertentu di Chronicle, profil data dapat memberikan insight tentang apakah agen layanan tersebut memiliki akses ke tabel yang memiliki tingkat risiko data tinggi.

Untuk mengirim profil data ke akun Chronicle, aktifkan Publikasikan ke Chronicle.

Jika Chronicle tidak diaktifkan untuk organisasi Anda, pengaktifan opsi ini tidak akan berpengaruh.

Publikasikan ke Security Command Center

Tindakan ini memungkinkan Anda mengirim risiko data yang dihitung dan tingkat sensitivitas profil data tabel ke Security Command Center.

Security Command Center adalah layanan pelaporan ancaman dan kerentanan terpusat dari Google Cloud. Anda dapat menggunakan insight dari profil data saat melakukan triase dan mengembangkan rencana respons untuk temuan kerentanan dan ancaman di Security Command Center.

Sebelum Anda dapat menggunakan tindakan ini, Security Command Center harus diaktifkan di tingkat organisasi. Mengaktifkan Security Command Center di tingkat organisasi akan memungkinkan alur temuan dari layanan terintegrasi seperti Perlindungan Data Sensitif. Perlindungan Data Sensitif berfungsi dengan Security Command Center Standard dan Premium.

Jika Security Command Center tidak diaktifkan di tingkat organisasi, temuan Perlindungan Data Sensitif tidak akan muncul di Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Memeriksa tingkat aktivasi Security Command Center.

Untuk mengirim hasil profil data ke Security Command Center, pastikan opsi Publish to Security Command Center diaktifkan.

Untuk informasi selengkapnya, lihat Memublikasikan profil data ke Security Command Center.

Simpan salinan profil data ke BigQuery

Dengan mengaktifkan opsi Simpan salinan profil data ke BigQuery, Anda dapat menyimpan salinan atau histori tersimpan dari semua profil yang dibuat. Cara ini dapat berguna untuk membuat laporan audit dan memvisualisasikan profil data. Anda juga dapat memuat informasi ini ke sistem lain.

Selain itu, opsi ini memungkinkan Anda melihat semua profil data dalam satu tampilan, di mana pun region data Anda berada. Jika menonaktifkan opsi ini, Anda tetap dapat melihat profil data di dasbor. Namun, di dasbor, Anda dapat memilih satu region dalam satu waktu, dan hanya melihat profil data untuk region tersebut.

Untuk mengekspor salinan profil data ke tabel BigQuery, ikuti langkah-langkah berikut:

  1. Aktifkan Simpan salinan profil data ke BigQuery.

  2. Masukkan detail tabel BigQuery tempat Anda ingin menyimpan profil data:

    • Untuk Project ID, masukkan ID project yang sudah ada tempat Anda ingin mengekspor profil data.

    • Untuk Dataset ID, masukkan nama set data yang ada dalam project tempat Anda ingin profil data diekspor.

    • Untuk ID Tabel, masukkan nama tabel BigQuery tempat profil data akan diekspor. Jika Anda belum membuat tabel ini, Perlindungan Data Sensitif akan otomatis membuatnya untuk Anda menggunakan nama yang Anda berikan.

Perlindungan Data Sensitif mulai mengekspor profil sejak Anda mengaktifkan opsi ini. Profil yang dibuat sebelum Anda mengaktifkan ekspor tidak disimpan ke BigQuery.

Publikasikan ke Pub/Sub

Dengan mengaktifkan Publikasikan ke Pub/Sub, Anda dapat mengambil tindakan terprogram berdasarkan hasil pembuatan profil. Anda dapat menggunakan notifikasi Pub/Sub guna mengembangkan alur kerja untuk menangkap dan memperbaiki temuan dengan risiko atau sensitivitas data yang signifikan.

Untuk mengirim notifikasi ke topik Pub/Sub, ikuti langkah-langkah berikut:

  1. Aktifkan Publikasikan ke Pub/Sub.

    Daftar opsi akan muncul. Setiap opsi menjelaskan peristiwa yang menyebabkan Perlindungan Data Sensitif mengirim notifikasi ke Pub/Sub.

  2. Pilih peristiwa yang akan memicu notifikasi Pub/Sub.

    Jika Anda memilih Kirim notifikasi Pub/Sub setiap kali profil diupdate, Sensitive Data Protection akan mengirim notifikasi saat ada perubahan pada metrik tingkat tabel berikut:

    • Risiko data
    • Sensitivitas
    • infoType yang diprediksi
    • infoType lainnya
    • Publik
    • Enkripsi
  3. Untuk setiap peristiwa yang Anda pilih, ikuti langkah-langkah berikut:

    1. Masukkan nama topik. Nama harus dalam format berikut:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Ganti kode berikut:

      • PROJECT_ID: ID project yang terkait dengan topik Pub/Sub.
      • TOPIC_ID: ID topik Pub/Sub.
    2. Tentukan apakah akan menyertakan profil tabel lengkap dalam notifikasi, atau hanya nama resource lengkap tabel yang dibuat profilnya.

    3. Tetapkan risiko data minimum dan tingkat sensitivitas yang harus dipenuhi agar Perlindungan Data Sensitif dapat mengirim notifikasi.

    4. Tentukan apakah hanya satu atau kedua kondisi risiko dan sensitivitas data yang harus dipenuhi. Misalnya, jika Anda memilih AND, risiko data dan kondisi sensitivitas harus terpenuhi sebelum Perlindungan Data Sensitif mengirimkan notifikasi.

Mengelola penampung dan penagihan agen layanan

Di bagian ini, Anda akan menentukan project yang akan digunakan sebagai container agen layanan. Anda dapat mengatur Sensitive Data Protection secara otomatis untuk membuat project baru, atau Anda dapat memilih project yang sudah ada.

  • Jika Anda tidak memiliki penampung agen layanan, pilih Create a new project as a service agent container.

    Sensitive Data Protection membuat project baru bernama DLP Service Agent Container. Agen layanan dalam project ini akan digunakan untuk melakukan autentikasi ke Sensitive Data Protection dan API lainnya. Sensitive Data Protection akan meminta Anda untuk memilih akun yang akan ditagih untuk semua operasi yang dapat ditagih terkait project ini, termasuk operasi yang tidak terkait dengan profiling data.

    Jika Anda tidak memiliki izin yang diperlukan untuk membuat project, opsi ini akan dinonaktifkan. Untuk mengetahui informasi tentang izin yang diperlukan, lihat Peran yang diperlukan untuk bekerja dengan profil data di tingkat organisasi atau folder.

  • Jika Anda sudah memiliki penampung agen layanan yang sudah ada dan ingin digunakan kembali, pilih Select an existing agent agent container. Selanjutnya, klik Browse untuk memilih project ID penampung agen layanan.

Terlepas dari apakah Anda menggunakan agen layanan yang baru dibuat atau menggunakan kembali agen yang sudah ada, pastikan agen tersebut memiliki akses baca ke data yang akan dibuat profilnya.

Setel lokasi ke konfigurasi penyimpanan

Klik daftar Resource location, lalu pilih region tempat Anda ingin menyimpan konfigurasi pemindaian ini. Semua konfigurasi pemindaian yang Anda nantikan juga akan disimpan di lokasi ini.

Tempat Anda memilih untuk menyimpan konfigurasi pemindaian tidak memengaruhi data yang akan dipindai. Juga, itu tidak mempengaruhi di mana profil data disimpan. Data Anda dipindai di region yang sama tempat data tersebut disimpan. Untuk mengetahui informasi selengkapnya, lihat Pertimbangan residensi data.

Tinjau dan buat

  1. Jika Anda ingin memastikan bahwa pembuatan profil tidak dimulai otomatis setelah membuat konfigurasi pemindaian, pilih Create Scan in paused mode.

    Opsi ini berguna dalam kasus berikut:

    • Administrator Google Cloud Anda masih perlu memberikan akses pembuatan profil data ke agen layanan.
    • Anda ingin membuat beberapa konfigurasi pemindaian dan ingin beberapa konfigurasi untuk menggantikan konfigurasi yang lain.
    • Anda memilih untuk menyimpan profil data ke BigQuery, dan ingin memastikan agen layanan memiliki akses tulis ke tabel output Anda.
    • Anda telah mengonfigurasi notifikasi Pub/Sub dan ingin memberikan akses publikasi ke agen layanan.
  2. Tinjau setelan, lalu klik Buat.

    Sensitive Data Protection membuat konfigurasi pemindaian dan menambahkannya ke daftar konfigurasi pemindaian penemuan.

Untuk melihat atau mengelola konfigurasi pemindaian Anda, lihat Mengelola konfigurasi pemindaian.

Sensitive Data Protection mulai mengidentifikasi instance Cloud SQL Anda dan membuat koneksi default untuk setiap instance. Bergantung pada jumlah instance dalam cakupan penemuan, proses ini dapat memerlukan waktu beberapa jam. Anda dapat keluar dari konsol Google Cloud dan memeriksa koneksi Anda nanti.

Ketika koneksi default sudah siap, perbarui koneksi tersebut dengan kredensial pengguna database yang Anda inginkan untuk digunakan oleh Perlindungan Data Sensitif untuk membuat profil instance Cloud SQL Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola koneksi untuk digunakan dengan penemuan.

Langkah selanjutnya

Pelajari cara memperbarui koneksi.