Profildaten in einer Organisation oder einem Ordner

Auf dieser Seite wird beschrieben, wie Sie die Profilerstellung auf der Ebene einer Organisation oder eines Ordners konfigurieren. Wenn Sie ein Profil für ein Projekt erstellen möchten, finden Sie weitere Informationen unter Profildaten in einem einzelnen Projekt.

Weitere Informationen zu Datenprofilen finden Sie unter Datenprofile für BigQuery-Daten.

Erstellen Sie eine Scankonfiguration, um mit der Profilerstellung für Daten zu beginnen.

Hinweise

1. Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Organisationsebene erforderlich sind.

   Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss jedoch eine Person mit einer dieser Rollen Ihrem Dienst-Agent Zugriff auf die Datenprofilerstellung gewähren.

2. Sie müssen eine Inspektionsvorlage in jeder Region haben, für die ein Profil für Daten erstellt werden soll. Wenn Sie eine einzelne Vorlage für mehrere Regionen verwenden möchten, können Sie eine Vorlage nutzen, die in der Region global gespeichert ist. Wenn Sie aufgrund von Organisationsrichtlinien keine global-Inspektionsvorlage erstellen können, müssen Sie für jede Region eine eigene Inspektionsvorlage festlegen. Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

   Mit dieser Aufgabe können Sie eine Inspektionsvorlage nur in der Region global erstellen. Wenn Sie dedizierte Inspektionsvorlagen für eine oder mehrere Regionen benötigen, müssen Sie diese Vorlagen erstellen, bevor Sie diese Aufgabe ausführen.

3. Sie können den Schutz sensibler Daten so konfigurieren, dass bei bestimmten Ereignissen Benachrichtigungen an Pub/Sub gesendet werden, z. B. wenn der Schutz sensibler Daten ein Profil für eine neue Tabelle erstellt. Wenn Sie dieses Feature verwenden möchten, müssen Sie zuerst ein Pub/Sub-Thema erstellen.

Zum Generieren von Datenprofilen benötigen Sie einen Dienst-Agent-Container und einen darin enthaltenen Dienst-Agent. Mit dieser Aufgabe können Sie sie automatisch erstellen.

Scankonfiguration erstellen

1. Rufen Sie die Seite Scankonfiguration erstellen auf.

   Zur Seite „Scankonfiguration erstellen”

2. Rufen Sie Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl arrow_drop_down und wählen Sie Ihre Organisation aus.

   

In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scankonfiguration erstellen. Klicken Sie am Ende jedes Abschnitts auf Weiter.

Zu scannende Ressource auswählen

• Wählen Sie Gesamte Organisation scannen aus, um die Profilerstellung auf Organisationsebene zu konfigurieren.
• Wählen Sie Ausgewählten Ordner scannen aus, um die Profilerstellung auf Ordnerebene zu konfigurieren. Klicken Sie auf Durchsuchen und wählen Sie den Ordner aus.

Zeitpläne verwalten

Wenn die Standardhäufigkeit der Profilerstellung Ihren Anforderungen entspricht, können Sie diesen Abschnitt auf der Seite Scankonfiguration erstellen überspringen. Dieser Abschnitt ist nützlich, wenn Sie die Häufigkeit der Profilerstellung aller Daten oder bestimmter Teilmengen Ihrer Daten detailliert anpassen möchten. Sie ist auch nützlich, wenn Sie nicht möchten, dass für bestimmte Tabellen jemals ein Profil erstellt wird, oder wenn Sie möchten, dass für bestimmte Tabellen ein einmaliges Profil erstellt wird.

In diesem Abschnitt erstellen Sie Filter, um bestimmte Teilmengen Ihrer Daten anzugeben, die von Interesse sind. Für diese Teilmengen legen Sie fest, ob und wie oft für den Schutz sensibler Daten ein Profil für die Tabellen erstellt werden soll. Hier geben Sie auch die Arten von Änderungen an, die dazu führen sollen, dass das Profil einer Tabelle neu erstellt wird. Abschließend geben Sie alle Bedingungen an, die jede Tabelle in den Teilmengen erfüllen muss, bevor der Schutz sensibler Daten mit der Profilerstellung für die Tabelle beginnt.

So können Sie die Häufigkeit der Profilerstellung detailliert anpassen:

1. Klicken Sie auf Zeitplan hinzufügen.

2. Definieren Sie im Bereich Filter einen oder mehrere Filter, die angeben, welche Tabellen im Geltungsbereich des Zeitplans enthalten sind.

   Geben Sie mindestens eine der folgenden Optionen an:

   • Eine Projekt-ID oder ein regulärer Ausdruck, der ein oder mehrere Projekte angibt.
   • Eine Dataset-ID oder ein regulärer Ausdruck, der ein oder mehrere Datasets angibt.
   • Eine Tabellen-ID oder ein regulärer Ausdruck, der eine oder mehrere Tabellen angibt.

   Reguläre Ausdrücke müssen der RE2-Syntax entsprechen.

   Wenn beispielsweise alle Tabellen in einem Projekt im Filter enthalten sein sollen, geben Sie die ID dieses Projekts an und lassen Sie die beiden anderen Felder leer.

   Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.

3. Klicken Sie auf Häufigkeit.

4. Geben Sie im Abschnitt Häufigkeit an, ob für den Schutz sensibler Daten ein Profil für die Tabellen erstellt werden soll, die Sie in Ihren Filtern definiert haben, und wenn ja, wie oft:

   • Wenn für die Tabellen kein Profil erstellt werden soll, deaktivieren Sie Profil für Tabellen erstellen.

   • Wenn für die Tabellen mindestens einmal ein Profil erstellt werden soll, lassen Sie Profile der Tabellen aktiviert und gehen Sie so vor:

     1. Geben Sie im Feld Bei Schemaänderungen an, wann das Profil für die Tabellen neu erstellt werden soll, wenn nach der letzten Profilerstellung Schemaänderungen für sie vorgenommen werden.

        • Profil nicht neu erstellen: Nachdem die ersten Profile erstellt wurden, darf das Profil nicht neu erstellt werden.
        • Profil täglich neu erstellen: Profil alle 24 Stunden neu erstellen.
        • Profil monatlich neu erstellen: Profil alle 30 Tage neu erstellen.

     2. Geben Sie unter Arten von Schemaänderung an, welche Typen von Schemaänderungen eine Profilerstellung auslösen sollen:

        • Neue Spalten: Erstellen Sie ein neues Profil für die Tabellen, in denen neue Spalten hinzugekommen sind.
        • Entfernte Spalten: Erstellen Sie ein neues Profil für die Tabellen, aus denen Spalten entfernt wurden.

        Angenommen, Sie möchten, dass Vorgänge zur Profilerstellung alle 24 Stunden ausgeführt werden. Außerdem möchten Sie nur für die Tabellen ein neues Profil erstellen, für die nach der letzten Profilerstellung neue Spalten gewonnen wurden. Setzen Sie in diesem Fall Bei Schemaänderungen auf Profil täglich neu erstellen und Typen von Schemaänderungen auf Neue Spalten.

     3. Geben Sie im Feld Bei Tabellenänderungen an, wann das Profil für die Tabellen neu erstellt werden soll, wenn nach der letzten Profilerstellung Änderungen daran vorgenommen wurden. Beispiele für Tabellenänderungen sind das Löschen von Zeilen und Schemaänderungen.

        • Profil nicht neu erstellen: Nachdem die ersten Profile erstellt wurden, darf das Profil nicht neu erstellt werden.
        • Profil täglich neu erstellen: Profil alle 24 Stunden neu erstellen.
        • Profil monatlich neu erstellen: Profil alle 30 Tage neu erstellen.

     Sie müssen einen Wert auswählen, der dem im Feld Bei Schemaänderungen festgelegten Wert entspricht oder seltener als dieser Wert ist.

5. Klicken Sie auf Bedingungen.

6. Geben Sie im Abschnitt Bedingungen alle Bedingungen an, die die in Ihren Filtern definierten Tabellen erfüllen müssen, bevor sie für den Schutz sensibler Daten erstellt werden. Wenn Sie Mindestbedingungen und die Zeitbedingung festlegen, erstellt der Schutz sensibler Daten nur für Tabellen ein Profil, die beide Arten von Bedingungen erfüllen.

   • Mindestbedingungen: Diese Bedingungen sind nützlich, wenn Sie die Profilerstellung einer Tabelle verzögern möchten, bis sie genügend Zeilen hat oder ein bestimmtes Alter erreicht hat. Aktivieren Sie die Bedingungen, die Sie anwenden möchten, und geben Sie die Mindestanzahl von Zeilen oder die Mindestdauer an.
   • Zeitbedingung: Diese Bedingung ist nützlich, wenn Sie nicht möchten, dass für alte Tabellen Profile erstellt werden. Aktivieren Sie die Zeitbedingung und wählen Sie ein Datum und eine Uhrzeit aus. Tabellen, die an oder vor diesem Datum erstellt wurden, werden von der Profilerstellung ausgeschlossen.

   Angenommen, Sie haben die folgende Konfiguration:

   • Mindestbedingungen

     • Mindestzeilenanzahl: 10 Zeilen
     • Mindestdauer: 24 Stunden

   • Zeitbedingung

     • Zeitstempel: 04.05.2022, 23:59 Uhr

   In diesem Fall schließt der Schutz sensibler Daten alle Tabellen aus, die am oder vor dem 4. Mai 2022 um 23:59 Uhr erstellt wurden. Von den Tabellen, die nach diesem Datum und dieser Uhrzeit erstellt wurden, werden für den Schutz sensibler Daten nur für die Tabellen Profile erstellt, die entweder 10 Zeilen haben oder mindestens 24 Stunden alt sind.

7. Wählen Sie im Bereich Tabellen, für die ein Profil erstellt werden soll eine der folgenden Optionen aus, je nachdem, für welche Tabellentypen ein Profil erstellt werden soll:

   • Profil für alle Tabellen erstellen: Wählen Sie diese Option aus, wenn beim Schutz sensibler Daten ein Profil für alle Tabellentypen erstellt werden soll, die Ihren Filtern und Zeitbedingungen entsprechen.

     Für nicht unterstützte Tabellentypen generiert der Schutz sensibler Daten nur teilweise ausgefüllte Profile. Solche Profile zeigen Fehler an, die darauf hinweisen, dass die Tabellen, auf die sie sich beziehen, nicht unterstützt werden. Wählen Sie diese Option aus, wenn Sie die Teilprofile trotz der Fehlermeldungen sehen möchten.

     Wenn der Schutz sensibler Daten einen neuen Tabellentyp unterstützt, wird das Profil für Tabellen dieses Typs bei der nächsten geplanten Ausführung vollständig neu erstellt.

   • Profil für unterstützte Tabellen erstellen: Wählen Sie diese Option aus, wenn beim Schutz von sensiblen Daten nur ein Profil für die unterstützten Tabellen erstellt werden soll, die Ihren Filtern und Zeitbedingungen entsprechen. Nicht unterstützte Tabellen haben keine Teilprofile.

   • Profil für bestimmte Tabellentypen: Wählen Sie diese Option aus, wenn beim Schutz sensibler Daten nur ein Profil für ausgewählte Tabellentypen erstellt werden soll. Wählen Sie in der angezeigten Liste einen oder mehrere Typen aus.

     Wenn der Schutz sensibler Daten einen neuen Tabellentyp unterstützt, erstellt er nicht automatisch Profile für Tabellen dieses Typs. Wenn Sie Profile für neu unterstützte Tabellentypen erstellen möchten, müssen Sie die Scankonfiguration bearbeiten und diese Typen auswählen.

   Wenn Sie keine Option auswählen, erstellt der Schutz sensibler Daten nur ein Profil für BigQuery-Tabellen und zeigt Fehler für nicht unterstützte Tabellen an.

   Die Preise für die Datenprofilerstellung variieren je nach Typ der Tabellen, für die ein Profil erstellt wird. Weitere Informationen finden Sie unter Preise für die Datenprofilerstellung.

8. Klicken Sie auf Fertig.

9. Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.

10. Wenn Sie die Zeitpläne nach Priorität neu anordnen möchten, verwenden Sie den arrow_upward-Aufwärts- und den arrow_downward-Abwärtspfeil. Wenn beispielsweise die Filter in zwei verschiedenen Zeitplänen mit Tabelle A übereinstimmen, hat der Zeitplan, der höher in der Prioritätsliste steht, Vorrang.

    Der letzte Zeitplan in der Liste ist immer der mit Standardzeitplan gekennzeichnete Zeitplan. Dieser Standardzeitplan deckt die Tabellen in der ausgewählten Ressource (Organisation oder Ordner) ab, die keinem der von Ihnen erstellten Zeitpläne entsprechen. Dieser Standardzeitplan folgt der Standardhäufigkeit der Systemprofilerstellung.

11. Wenn Sie den Standardzeitplan anpassen möchten, klicken Sie auf edit Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.

Inspektionsvorlage auswählen

Je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten, wählen Sie eine der folgenden Optionen aus. Unabhängig davon, für welche Option Sie sich entscheiden, scannt der Schutz sensibler Daten Ihre Daten in der Region, in der Sie BigQuery zum Speichern dieser Daten konfiguriert haben. Ihre BigQuery-Daten verlassen nicht ihre Ursprungsregion.

Option 1: Inspektionsvorlage erstellen

Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

1. Klicken Sie auf Neue Inspektionsvorlage erstellen.

2. Optional: Klicken Sie auf infoTypes verwalten, um die Standardauswahl von infoTypes zu ändern.

   Weitere Informationen zum Verwalten von integrierten und benutzerdefinierten infoTypes in diesem Abschnitt finden Sie unter infoTypes über die Google Cloud Console verwalten.

3. Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

   Wenn der Schutz sensibler Daten die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der Region global gespeichert.

Option 2: Vorhandene Inspektionsvorlage verwenden

Wählen Sie diese Option aus, wenn Sie vorhandene Inspektionsvorlagen haben, die Sie verwenden möchten.

1. Klicken Sie auf Vorhandene Inspektionsvorlage wählen.

2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der Ihre Inspektionsvorlage gespeichert ist.

   Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region wie die Daten befinden, für die ein Profil erstellt werden soll. Um den Datenstandort zu respektieren, verwendet der Schutz sensibler Daten keine Inspektionsvorlage außerhalb seiner eigenen Region.

   So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:

   1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.

      Inspektionsvorlagen aufrufen

   2. Wechseln Sie zu dem Projekt, das die Inspektionsvorlage enthält, die Sie verwenden möchten.

   3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.

   4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat folgendes Format:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

   5. Fügen Sie auf der Seite Scankonfiguration erstellen in das Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.

3. Wenn Sie Daten in einer anderen Region und eine Inspektionsvorlage haben, die Sie für diese Region verwenden möchten, gehen Sie so vor:

   1. Klicken Sie auf Inspektionsvorlage hinzufügen.
   2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein.

   Wiederholen Sie diese Schritte für jede Region, in der Sie eine dedizierte Inspektionsvorlage haben.

4. Optional: Fügen Sie eine Inspektionsvorlage hinzu, die in der Region global gespeichert ist. Der Schutz sensibler Daten verwendet diese Vorlage automatisch für Daten in Regionen, in denen Sie keine eigene Inspektionsvorlage haben.

Aktionen hinzufügen

In den folgenden Abschnitten geben Sie die Aktionen an, die nach dem Erstellen der Datenprofile ausgeführt werden sollen.

Informationen dazu, welche Gebühren bei anderen Google Cloud-Diensten für die Konfiguration von Aktionen anfallen können, finden Sie unter Preise für den Export von Datenprofilen.

In Chronicle veröffentlichen

Messwerte, die aus Datenprofilen erfasst werden, können Kontext zu Ihren Chronicle-Ergebnissen hinzufügen. Der zusätzliche Kontext kann Ihnen dabei helfen, die wichtigsten Sicherheitsprobleme zu ermitteln, die behoben werden müssen. Wenn Sie beispielsweise einen bestimmten Dienst-Agent in Chronicle untersuchen, können Datenprofile Aufschluss darüber geben, ob dieser Dienst-Agent Zugriff auf Tabellen mit hohem Datenrisiko hat.

Aktivieren Sie In Chronicle veröffentlichen, um Ihre Datenprofile an Ihr Chronicle-Konto zu senden.

Wenn Chronicle für Ihre Organisation nicht aktiviert ist, hat das Aktivieren dieser Option keine Auswirkungen.

In Security Command Center veröffentlichen

Mit dieser Aktion können Sie die berechneten Datenrisiko- und Vertraulichkeitsstufen von Tabellendatenprofilen an Security Command Center senden.

Security Command Center ist der zentrale Dienst für die Meldung von Sicherheitslücken und Bedrohungen in Google Cloud. Sie können Informationen aus Datenprofilen verwenden, um Reaktionspläne für Ihre Sicherheitslücken und gefundenen Bedrohungen in Security Command Center zu bewerten und zu entwickeln.

Bevor Sie diese Aktion verwenden können, muss Security Command Center auf Organisationsebene aktiviert werden. Wenn Security Command Center auf Organisationsebene aktiviert wird, können Ergebnisse aus integrierten Diensten wie dem Schutz sensibler Daten erfasst werden. Der Schutz sensibler Daten funktioniert sowohl mit Security Command Center Standard als auch mit Premium.

Wenn Security Command Center nicht auf Organisationsebene aktiviert ist, werden keine Ergebnisse zum Schutz sensibler Daten in Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center prüfen.

Damit die Ergebnisse Ihrer Datenprofile an Security Command Center gesendet werden, muss die Option In Security Command Center veröffentlichen aktiviert sein.

Weitere Informationen finden Sie unter Datenprofile in Security Command Center veröffentlichen.

Datenprofilkopien in BigQuery speichern

Wenn Sie Datenprofilkopien in BigQuery speichern aktivieren, können Sie eine gespeicherte Kopie oder den Verlauf aller Ihrer generierten Profile beibehalten. Dies kann bei der Erstellung von Prüfberichten und der Visualisierung von Datenprofilen hilfreich sein. Sie können diese Informationen auch in andere Systeme laden.

Außerdem können Sie mit dieser Option alle Ihre Datenprofile in einer einzigen Ansicht sehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Wenn Sie diese Option deaktivieren, können Sie die Datenprofile in Ihrem Dashboard weiterhin ansehen. In Ihrem Dashboard wählen Sie jedoch eine Region nach der anderen aus und sehen nur die Datenprofile für diese Region.

So exportieren Sie Kopien der Datenprofile in eine BigQuery-Tabelle:

1. Aktivieren Sie Datenprofilkopien in BigQuery speichern.

2. Geben Sie die Details der BigQuery-Tabelle ein, in der Sie die Datenprofile speichern möchten:

   • Geben Sie als Projekt-ID die ID eines vorhandenen Projekts ein, in das Datenprofile exportiert werden sollen.

   • Geben Sie als Dataset-ID den Namen eines vorhandenen Datasets in dem Projekt ein, in das die Datenprofile exportiert werden sollen.

   • Geben Sie als Tabellen-ID einen Namen für die BigQuery-Tabelle ein, in die Datenprofile exportiert werden. Wenn Sie diese Tabelle nicht erstellt haben, wird sie vom Schutz sensibler Daten automatisch mit dem von Ihnen angegebenen Namen erstellt.

Ab dem Zeitpunkt, an dem Sie diese Option aktivieren, werden Profile für den Schutz sensibler Daten exportiert. Profile, die vor dem Aktivieren des Exports generiert wurden, werden nicht in BigQuery gespeichert.

In Pub/Sub veröffentlichen

Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen basierend auf den Ergebnissen der Profilerstellung ausführen. Sie können Pub/Sub-Benachrichtigungen verwenden, um einen Workflow zum Erkennen und Beheben von Ergebnissen mit erheblichem Datenrisiko oder hoher Vertraulichkeit zu entwickeln.

So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

1. Aktivieren Sie In Pub/Sub veröffentlichen.

   Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das dazu führt, dass der Schutz sensibler Daten eine Benachrichtigung an Pub/Sub sendet.

2. Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

   Wenn Sie Bei jeder Aktualisierung eines Profils eine Pub/Sub-Benachrichtigung senden auswählen, wird bei einer Änderung der folgenden Messwerte auf Tabellenebene eine Benachrichtigung gesendet:

   • Datenrisiko
   • Sensitivity (Vertraulichkeit)
   • Vorhergesagte infoTypes
   • Andere infoTypes
   • Öffentlich
   • Verschlüsselung

3. Führen Sie für jedes ausgewählte Ereignis die folgenden Schritte aus:

   1. Geben Sie den Namen des Themas ein. Der Name muss das folgende Format haben:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Ersetzen Sie Folgendes:

      • PROJECT_ID: die ID des Projekts, das dem Pub/Sub-Thema zugeordnet ist.
      • TOPIC_ID: die ID des Pub/Sub-Themas.

   2. Geben Sie an, ob die Benachrichtigung das vollständige Tabellenprofil oder nur den vollständigen Ressourcennamen der Tabelle enthalten soll, für die ein Profil erstellt wurde.

   3. Legen Sie die minimalen Datenrisiko- und Vertraulichkeitsstufen fest, die erreicht werden müssen, damit der Schutz sensibler Daten eine Benachrichtigung senden kann.

   4. Geben Sie an, ob nur eine oder beide Bedingungen für Datenrisiko und Vertraulichkeit erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl das Datenrisiko als auch die Bedingungen für die Vertraulichkeit erfüllt sein, bevor der Schutz sensibler Daten eine Benachrichtigung sendet.

Als Tags an Dataplex senden

Mit dieser Aktion können Sie Tags in Dataplex erstellen, die auf Informationen aus Datenprofilen basieren. Diese Aktion wird nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Dataplex gesendet.

Dataplex ist ein Google Cloud-Dienst, der verteilte Daten vereinheitlicht und die Datenverwaltung und Governance für diese Daten automatisiert. Wenn Sie diese Aktion aktivieren, werden Tabellen, für die Sie ein Profil erstellen, in Dataplex automatisch gemäß den aus den Datenprofilen erfassten Informationen getaggt. Anschließend können Sie in Ihrer Organisation und Ihren Projekten nach Tabellen mit bestimmten Tag-Werten suchen.

Damit die Datenprofile an Dataplex gesendet werden, muss die Option Als Tags an Dataplex senden aktiviert sein.

Weitere Informationen finden Sie unter Tag-Tabellen in Dataplex basierend auf Statistiken aus Datenprofilen taggen.

Dienst-Agent-Container und Abrechnung verwalten

In diesem Abschnitt geben Sie das Projekt an, das als Dienst-Agent-Container verwendet werden soll. Sie können festlegen, dass der Schutz sensibler Daten automatisch ein neues Projekt erstellt, oder ein vorhandenes Projekt auswählen.

• Wenn Sie keinen Dienst-Agent-Container haben, wählen Sie Neues Projekt als Dienst-Agent-Container erstellen aus.

  Beim Schutz sensibler Daten wird ein neues Projekt mit dem Namen DLP-Dienst-Agent-Container erstellt. Der Dienst-Agent in diesem Projekt wird zur Authentifizierung beim Schutz sensibler Daten und anderen APIs verwendet. Sie werden aufgefordert, das Konto auszuwählen, über das alle kostenpflichtigen Vorgänge im Zusammenhang mit diesem Projekt abgerechnet werden, einschließlich der Vorgänge, die nicht mit der Datenprofilerstellung zusammenhängen.

  Wenn Sie nicht die erforderlichen Berechtigungen zum Erstellen von Projekten haben, ist diese Option deaktiviert. Informationen zu den erforderlichen Berechtigungen finden Sie unter Erforderliche Rollen für die Arbeit mit Datenprofilen auf Organisations- oder Ordnerebene.

• Wenn Sie bereits einen Dienst-Agent-Container haben, den Sie wiederverwenden möchten, wählen Sie Vorhandenen Dienst-Agent-Container auswählen aus. Klicken Sie dann auf Durchsuchen, um die Projekt-ID des Dienst-Agent-Containers auszuwählen.

Unabhängig davon, ob Sie einen neu erstellten Dienst-Agent oder einen vorhandenen verwenden, muss dieser Lesezugriff auf die Daten haben, für die ein Profil erstellt werden soll.

Speicherort für Konfiguration festlegen

Klicken Sie auf die Liste Ressourcenstandort und wählen Sie die Region aus, in der Sie diese Scankonfiguration speichern möchten. Alle Scankonfigurationen, die Sie später erstellen, werden ebenfalls an diesem Speicherort gespeichert.

Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Außerdem wirkt sich dies nicht darauf aus, wo die Datenprofile gespeichert werden. Die Daten werden in derselben Region gescannt, in der sie gespeichert sind (wie in BigQuery festgelegt). Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Überprüfen und erstellen

1. Wenn Sie die Profilerstellung nicht kurz nach dem Erstellen der Scankonfiguration starten möchten, wählen Sie Scan im pausierten Modus erstellen.

   Diese Option ist in den folgenden Fällen nützlich:

   • Der Google Cloud-Administrator muss dem Dienst-Agent weiterhin Zugriff auf die Datenprofilerstellung gewähren.
   • Sie möchten mehrere Scankonfigurationen erstellen und einige Konfigurationen überschreiben.
   • Sie haben sich dafür entschieden, Datenprofile in BigQuery zu speichern, und möchten sicherstellen, dass der Dienst-Agent Schreibzugriff auf Ihre Ausgabetabelle hat.
   • Sie haben Pub/Sub-Benachrichtigungen konfiguriert und möchten dem Dienst-Agent Veröffentlichungszugriff gewähren.

2. Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.

   Beim Schutz sensibler Daten wird die Scankonfiguration erstellt und der Liste Konfigurationen hinzugefügt.

Rufen Sie die Liste der Datenprofilkonfigurationen auf, um Ihre Scankonfigurationen aufzurufen oder zu verwalten.

Datenprofilkonfigurationen aufrufen

Wenn der Dienst-Agent die erforderlichen Rollen hat, um auf Ihre Daten zuzugreifen und ein Profil zu erstellen, beginnt der Schutz sensibler Daten kurz nach dem Erstellen der Scankonfiguration mit dem Scannen Ihrer Daten. Andernfalls wird unter „Schutz sensibler Daten“ ein Fehler angezeigt, wenn Sie die Scankonfigurationsdetails aufrufen.

Nächste Schritte

• Wenn Sie nicht die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder „Sicherheitsadministrator“ (roles/iam.securityAdmin) haben, muss ein Nutzer mit einer dieser Rollen Ihrem Dienst-Agent Zugriff auf die Datenprofilerstellung gewähren.
• Kosten für die Profilerstellung in einer Organisation oder einem Ordner schätzen
• Weitere Informationen zum Aufrufen von Datenprofilen
• Erfahren Sie, wie Sie Scankonfigurationen verwalten.
• Vom Daten-Profiler veröffentlichte Pub/Sub-Nachrichten empfangen und parsen
• Informationen zur Behebung von Problemen mit Datenprofilen