Profildaten in einer Organisation oder einem Ordner erstellen

Auf dieser Seite wird beschrieben, wie Sie die Profilerstellung auf der Ebene einer Organisation oder eines Ordners konfigurieren. Wenn Sie ein Profil für ein Projekt erstellen möchten, finden Sie weitere Informationen unter Profildaten in einem einzelnen Projekt erstellen.

Weitere Informationen zu Datenprofilen finden Sie unter Datenprofile für BigQuery-Daten.

Erstellen Sie eine Scankonfiguration, um ein Profil für Daten zu erstellen.

Hinweis

  1. Prüfen Sie, ob Sie die IAM-Berechtigungen haben, die zum Konfigurieren von Datenprofilen auf Organisationsebene erforderlich sind.

    Wenn Sie die Rolle „Organisationsadministrator“ (roles/resourcemanager.organizationAdmin) oder Sicherheitsadministrator (roles/iam.securityAdmin) nicht haben, können Sie trotzdem eine Scankonfiguration erstellen. Nachdem Sie die Scankonfiguration erstellt haben, muss jedoch jemand mit einer dieser Rollen Ihrem Dienst-Agent Zugriff auf die Datenprofilerstellung gewähren.

  2. Sie benötigen eine Inspektionsvorlage für jede Region, für die Daten vorliegen sollen. Wenn Sie eine einzelne Vorlage für mehrere Regionen verwenden möchten, können Sie eine Vorlage verwenden, die in der Region global gespeichert ist. Wenn Sie gemäß den Organisationsrichtlinien keine Inspektionsvorlage global erstellen können, müssen Sie für jede Region eine eigene Inspektionsvorlage festlegen. Weitere Informationen finden Sie unter Hinweise zum Datenstandort.

    Mit dieser Aufgabe können Sie eine Inspektionsvorlage nur in der Region global erstellen. Wenn Sie spezielle Inspektionsvorlagen für eine oder mehrere Regionen benötigen, müssen Sie diese Vorlagen erstellen, bevor Sie diese Aufgabe ausführen.

  3. Sie können Cloud DLP so konfigurieren, dass Benachrichtigungen an Pub/Sub gesendet werden, wenn bestimmte Ereignisse eintreten, z. B. wenn Cloud DLP ein Profil für eine neue Tabelle erstellt. Wenn Sie dieses Feature verwenden möchten, müssen Sie zuerst ein Pub/Sub-Thema erstellen.

Zum Generieren von Datenprofilen benötigen Sie einen Dienst-Agent-Container und einen Dienst-Agent. Mit dieser Aufgabe können Sie sie automatisch erstellen.

Scankonfiguration erstellen

  1. Rufen Sie die Seite Scankonfiguration erstellen auf.

    Zur Seite „Scankonfiguration erstellen”

  2. Rufen Sie Ihre Organisation auf. Klicken Sie in der Symbolleiste auf die Projektauswahl und wählen Sie Ihre Organisation aus.

    Screenshot der Projektauswahl in der Symbolleiste

In den folgenden Abschnitten finden Sie weitere Informationen zu den Schritten auf der Seite Scankonfiguration erstellen. Klicken Sie am Ende der einzelnen Abschnitte auf Weiter.

Zu scannende Ressource auswählen

Führen Sie einen der folgenden Schritte aus:

  • Wählen Sie Gesamte Organisation scannen aus, um die Profilerstellung auf Organisationsebene zu konfigurieren.
  • Wählen Sie Ausgewählten Ordner scannen aus, um die Profilerstellung auf der Ebene eines Ordners zu konfigurieren. Klicken Sie auf Durchsuchen und wählen Sie den Ordner aus.

Zeitpläne verwalten

Wenn die Standardhäufigkeit von Profilen Ihren Anforderungen entspricht, können Sie diesen Abschnitt auf der Seite Scankonfiguration erstellen überspringen. Dieser Abschnitt ist hilfreich, wenn Sie die Häufigkeit der Profilerstellung für alle Daten oder für bestimmte Teilmengen der Daten präzise anpassen möchten. Dies ist auch hilfreich, wenn Sie nicht möchten, dass für bestimmte Tabellen ein Profil erstellt wird, oder sie werden nur einmal und nie wieder mit einem Profil versehen.

In diesem Abschnitt erstellen Sie Filter, um bestimmte Teilmengen Ihrer Daten anzugeben, die von Interesse sind. Für diese Teilmengen definieren Sie, ob und wie oft Cloud DLP ein Profil für die Tabellen erstellen soll. Hier geben Sie auch die Arten von Änderungen an, die dazu führen sollen, dass ein Profil für eine Tabelle neu erstellt wird. Zum Schluss legen Sie alle Bedingungen fest, die jede Tabelle in den Teilmengen erfüllen muss, bevor Cloud DLP mit der Profilerstellung der Tabelle beginnt.

So nehmen Sie detaillierte Anpassungen an der Profilhäufigkeit vor:

  1. Klicken Sie auf Zeitplan hinzufügen.
  2. Im Abschnitt Filter definieren Sie einen oder mehrere Filter, die angeben, welche Tabellen im Zeitplan liegen.

    Geben Sie mindestens eine der folgenden Optionen an:

    • Eine Projekt-ID oder ein regulärer Ausdruck, der ein oder mehrere Projekte angibt.
    • Eine Dataset-ID oder ein regulärer Ausdruck, der ein oder mehrere Datasets angibt.
    • Eine Tabellen-ID oder ein regulärer Ausdruck, der eine oder mehrere Tabellen angibt.

    Reguläre Ausdrücke müssen der RE2-Syntax entsprechen.

    Wenn Sie beispielsweise alle Tabellen in einem Projekt im Filter einschließen möchten, geben Sie die ID dieses Projekts an und lassen Sie die beiden anderen Felder leer.

    Wenn Sie weitere Filter hinzufügen möchten, klicken Sie auf Filter hinzufügen und wiederholen Sie diesen Schritt.

  3. Klicken Sie auf Häufigkeit.

  4. Geben Sie im Abschnitt Häufigkeit an, ob Cloud DLP ein Profil für die in Ihren Filtern definierten Tabellen erstellen soll und falls ja, wie oft:

    • Wenn nie ein Profil für die Tabellen erstellt werden soll, deaktivieren Sie Profil für die Tabellen erstellen.

    • Wenn Sie ein Profil für die Tabellen erstellen möchten, lassen Sie Profil erstellen aktiviert und führen Sie die folgenden Schritte aus:

      1. Geben Sie im Feld Bei Schemaänderungen an, wann für ein Profil der Tabellen ein neues Profil erstellt werden soll, wenn nach der letzten Profilerstellung Schemaänderungen vorgenommen werden.

        • Kein neues Profil erstellen: Nachdem die ersten Profile erstellt wurden, wird kein neues Profil erstellt.
        • Profil täglich neu erstellen: Profil alle 24 Stunden neu erstellen.
        • Monatliches Profilerstellung: Profil alle 30 Tage einmal erstellen.
      2. Geben Sie unter Arten von Schemaänderungen an, welche Arten von Schemaänderungen ein Profil für ein Profil auslösen sollen:

        • Neue Spalten: Profil für Tabellen erstellen, für die neue Spalten erstellt wurden
        • Entfernte Spalten: Erstellen Sie für die Tabellen mit den entfernten Spalten ein neues Profil.

        Angenommen, Sie möchten Profilerstellungsvorgänge alle 24 Stunden ausführen. Außerdem möchten Sie nur die Profile neu erstellen, die neue Tabellenspalten erstellt haben, nachdem ein letztes Profil erstellt wurde. Legen Sie in diesem Fall unter Wenn sich das Schema ändert die Option Profil täglich neu erstellen und unter Arten von Schemaänderungen den Wert Neue Spalten fest.

      3. Geben Sie im Feld Bei Tabellenänderungen an, wann das Profil für die Tabellen neu erstellt werden soll, wenn nach der letzten Profilerstellung eine Änderung vorgenommen wird. Beispiele für Tabellenänderungen sind Zeilenlöschungen und Schemaänderungen.

        • Kein neues Profil erstellen: Nachdem die ersten Profile erstellt wurden, wird kein neues Profil erstellt.
        • Profil täglich neu erstellen: Profil alle 24 Stunden neu erstellen.
        • Monatliches Profilerstellung: Profil alle 30 Tage einmal erstellen.

      Sie müssen einen Wert auswählen, der dem Wert entspricht, den Sie im Feld Bei Schemaänderungen festgelegt haben, oder darunter liegt.

  5. Klicken Sie auf Bedingungen.

  6. Geben Sie im Abschnitt Bedingungen alle Bedingungen an, die die in Ihren Filtern definierten Tabellen erfüllen müssen, bevor Cloud DLP-Profile für sie erstellt werden. Wenn Sie Mindestbedingungen und die Zeitbedingung festlegen, erstellt Cloud DLP nur für Tabellen ein Profil, die beide Bedingungstypen erfüllen.

    • Mindestbedingungen: Diese Bedingungen sind nützlich, wenn Sie die Profilerstellung für eine Tabelle verzögern möchten, bis genügend Zeilen vorhanden sind oder ein bestimmtes Alter erreicht ist. Aktivieren Sie die Bedingungen, die Sie anwenden möchten, und geben Sie die Mindestanzahl von Zeilen oder die Dauer an.
    • Zeitbedingung: Diese Bedingung ist hilfreich, wenn Sie nicht möchten, dass für alte Tabellen ein Profil erstellt wird. Aktivieren Sie die Zeitbedingung und wählen Sie ein Datum und eine Uhrzeit aus. Alle Tabellen, die an oder vor diesem Datum erstellt wurden, werden von der Profilerstellung ausgeschlossen.

    Angenommen, Sie haben die folgende Konfiguration:

    • Mindestbedingungen

      • Mindestanzahl an Zeilen: 10 Zeilen
      • Mindestdauer: 24 Stunden
    • Zeitbedingung

      • Zeitstempel: 04.05.22, 23:59 Uhr

    In diesem Fall werden in Cloud DLP alle Tabellen ausgeschlossen, die am oder vor dem 4. Mai 2022 um 23:59 Uhr erstellt wurden. Unter den Tabellen, die nach diesem Datum und dieser Uhrzeit erstellt werden, erstellt Cloud DLP nur für Tabellen mit 10 Zeilen oder mindestens 24 Stunden ein Profil.

  7. Wählen Sie im Bereich Tabellen für das Profil eine der folgenden Optionen aus, je nachdem, welche Arten von Tabellen Sie Profil erstellen möchten:

    • Profil für alle Tabellen erstellen: Wählen Sie diese Option aus, wenn Cloud DLP ein Profil für alle Tabellentypen erstellen soll, die mit Ihren Filtern und Zeitbedingungen übereinstimmen.

      Bei nicht unterstützten Tabellentypen generiert Cloud DLP nur teilweise ausgefüllte Profile. Solche Profile zeigen Fehler an, die darauf hinweisen, dass die entsprechenden Tabellen nicht unterstützt werden. Wählen Sie diese Option aus, wenn Sie die Teilprofile trotz Fehlermeldungen sehen möchten.

      Wenn Cloud DLP einen neuen Tabellentyp unterstützt, werden die Tabellen dieses Typs bei der nächsten geplanten Ausführung vollständig neu erstellt.

    • Profil für unterstützte Tabellen erstellen: Wählen Sie diese Option aus, wenn Cloud DLP nur ein Profil für die unterstützten Tabellen erstellen soll, die mit Ihren Filtern und Zeitbedingungen übereinstimmen. Nicht unterstützte Tabellen haben keine Teilprofile.

    • Profilspezifische Tabellentypen erstellen: Wählen Sie diese Option aus, wenn Cloud DLP nur ein Profil für die von Ihnen ausgewählten Tabellentypen erstellen soll. Wählen Sie in der angezeigten Liste einen oder mehrere Typen aus.

      Wenn Cloud DLP einen neuen Tabellentyp unterstützt, werden Tabellen dieses Typs nicht automatisch mit einem Profil versehen. Wenn Sie ein Profil für neu unterstützte Tabellentypen erstellen möchten, müssen Sie Ihre Scankonfiguration bearbeiten und diese Typen auswählen.

    Wenn Sie keine Option auswählen, erstellt Cloud DLP nur für BigQuery-Tabellen ein Profil und zeigt Fehler für nicht unterstützte Tabellen an.

    Die Preise der Datenprofilerstellung variieren je nach Art der Tabellen, für die ein Profil erstellt wird. Weitere Informationen finden Sie unter Preise für die Datenprofilerstellung.

  8. Klicken Sie auf Fertig.

  9. Wenn Sie weitere Zeitpläne hinzufügen möchten, klicken Sie auf Zeitplan hinzufügen und wiederholen Sie die vorherigen Schritte.

  10. Wenn Sie die Zeitpläne nach Priorität neu anordnen möchten, verwenden Sie den -Aufwärts- und den -Abwärtspfeil. Wenn die Filter in zwei verschiedenen Zeitplänen beispielsweise mit Tabelle A übereinstimmen, hat der Zeitplan in der Prioritätsliste Vorrang.

    Der letzte Zeitplan in der Liste ist immer der mit Standardzeitplan. Dieser Standardzeitplan deckt die Tabellen in der ausgewählten Ressource (Organisation oder Ordner) ab, die mit keinem der von Ihnen erstellten Zeitpläne übereinstimmen. Dieser Standardzeitplan entspricht der Standardeinstellung für die Profilerstellung.

  11. Wenn Sie den Standardzeitplan anpassen möchten, klicken Sie auf Zeitplan bearbeiten und passen Sie die Einstellungen nach Bedarf an.

Inspektionsvorlage auswählen

Je nachdem, wie Sie eine Inspektionskonfiguration bereitstellen möchten, wählen Sie eine der folgenden Optionen aus. Unabhängig davon, für welche Option Sie sich entscheiden, scannt Cloud DLP Ihre Daten in der Region, in der Sie BigQuery zum Speichern dieser Daten konfiguriert haben. Ihre BigQuery-Daten verlassen ihre Region nicht.

Option 1: Inspektionsvorlage erstellen

Wählen Sie diese Option aus, wenn Sie eine neue Inspektionsvorlage in der Region global erstellen möchten.

  1. Klicken Sie auf Neue Inspektionsvorlage erstellen.
  2. Optional: Klicken Sie auf infoTypes verwalten, um die Standardauswahl von infoTypes zu ändern.

    Weitere Informationen zum Verwalten von integrierten und benutzerdefinierten infoTypes in diesem Abschnitt finden Sie unter infoTypes über die Google Cloud Console verwalten.

  3. Optional: Konfigurieren Sie die Inspektionsvorlage weiter, indem Sie Regelsätze hinzufügen und einen Konfidenzschwellenwert festlegen. Weitere Informationen finden Sie unter Erkennung konfigurieren.

    Wenn Cloud DLP die Scankonfiguration erstellt, wird diese neue Inspektionsvorlage in der global-Region gespeichert.

Option 2: Vorhandene Prüfvorlage verwenden

Wählen Sie diese Option aus, wenn Sie bereits Inspektionsvorlagen verwenden möchten.

  1. Klicken Sie auf Vorhandene Inspektionsvorlage wählen.

  2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein, die Sie verwenden möchten. Das Feld Region wird automatisch mit dem Namen der Region ausgefüllt, in der Ihre Inspektionsvorlage gespeichert ist.

    Die von Ihnen eingegebene Inspektionsvorlage muss sich in derselben Region wie die Daten befinden, für die ein Profil erstellt werden soll. Zur Berücksichtigung des Datenstandorts verwendet Cloud DLP keine Inspektionsvorlage außerhalb der eigenen Region.

    So ermitteln Sie den vollständigen Ressourcennamen einer Inspektionsvorlage:

    1. Rufen Sie die Liste der Inspektionsvorlagen auf. Diese Seite wird in einem separaten Tab geöffnet.

      Inspektionsvorlagen aufrufen

    2. Wechseln Sie zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.

    3. Klicken Sie auf dem Tab Vorlagen auf die Vorlagen-ID der Vorlage, die Sie verwenden möchten.

    4. Kopieren Sie auf der daraufhin angezeigten Seite den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat folgendes Format:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Fügen Sie auf der Seite Scankonfiguration erstellen im Feld Vorlagenname den vollständigen Ressourcennamen der Vorlage ein.

  3. Wenn Sie Daten in einer anderen Region haben und eine Inspektionsvorlage für diese Region haben, gehen Sie so vor:

    1. Klicken Sie auf Inspektionsvorlage hinzufügen.
    2. Geben Sie den vollständigen Ressourcennamen der Inspektionsvorlage ein.

    Wiederholen Sie diese Schritte für jede Region, in der Sie eine spezielle Prüfvorlage haben.

  4. Optional: Fügen Sie eine Inspektionsvorlage hinzu, die in der Region global gespeichert ist. Cloud DLP verwendet diese Vorlage automatisch für Daten in Regionen, in denen Sie keine spezielle Inspektionsvorlage haben.

Aktionen hinzufügen

In den folgenden Abschnitten geben Sie Aktionen an, die Cloud DLP nach der Generierung der Datenprofile ausführen soll.

In Chronicle veröffentlichen

Messwerte, die aus Datenprofilen stammen, können den Chronicle-Ergebnissen Kontext hinzufügen. Der zusätzliche Kontext kann Ihnen helfen, die wichtigsten Sicherheitsprobleme zu identifizieren. Wenn Sie beispielsweise einen bestimmten Dienst-Agent in Chronicle untersuchen, können Datenprofile Aufschluss darüber geben, ob dieser Dienst-Agent Zugriff auf Tabellen mit hohem Datenrisiko hat.

Aktivieren Sie In Chronicle veröffentlichen, um Ihre Datenprofile an Ihr Chronicle-Konto zu senden.

Wenn Chronicle für Ihre Organisation nicht aktiviert ist, hat das Aktivieren dieser Option keine Auswirkungen.

In Security Command Center veröffentlichen

Bevor Sie dieses Feature verwenden können, muss Security Command Center auf Organisationsebene aktiviert werden. Wenn Sie Security Command Center auf Organisationsebene aktivieren, können Sie Ergebnisse aus integrierten Diensten wie Cloud DLP abrufen. Cloud DLP funktioniert sowohl mit Security Command Center Standard als auch mit Premium.

Wenn Security Command Center auf Organisationsebene nicht aktiviert ist, werden Cloud DLP-Ergebnisse nicht in Security Command Center angezeigt. Weitere Informationen finden Sie unter Aktivierungsstufe von Security Command Center überprüfen.

Security Command Center ist der zentrale Dienst für die Meldung von Sicherheitslücken und Bedrohungen in Google Cloud.

Wenn Sie In Security Command Center veröffentlichen aktivieren, können Sie die Datenrisiken und Vertraulichkeitsstufen von Tabellendatenprofilen an Security Command Center senden. Berücksichtigen Sie diese Informationen, wenn Sie Reaktionspläne für Ihre Sicherheitslücken und Bedrohungsergebnisse in Security Command Center prüfen und entwickeln.

Aktivieren Sie In Security Command Center veröffentlichen, um die Ergebnisse Ihrer Datenprofile an Security Command Center zu senden.

Weitere Informationen zu den Ergebniskategorien, die in Security Command Center generiert werden, finden Sie in der Dokumentation zur Sicherheitsquelle von Cloud Data Loss Prevention.

Datenprofilkopien in BigQuery speichern

Wenn Sie die Option Datenprofilkopien in BigQuery speichern aktivieren, werden gespeicherte Kopien oder der Verlauf aller generierten Profile gespeichert. Dies kann hilfreich sein, um Prüfberichte zu erstellen und Datenprofile zu visualisieren. Sie können diese Informationen auch in andere Systeme laden.

Mit dieser Option können Sie alle Datenprofile in einer einzigen Ansicht ansehen, unabhängig davon, in welcher Region sich Ihre Daten befinden. Wenn Sie diese Option deaktivieren, können Sie weiterhin die Datenprofile in Ihrem Dashboard aufrufen. Allerdings wählen Sie in Ihrem Dashboard jeweils eine Region aus und sehen nur die Datenprofile für diese Region.

So exportieren Sie Kopien der Datenprofile in eine BigQuery-Tabelle:

  1. Aktivieren Sie die Option Kopien von Datenprofilen in BigQuery speichern.

  2. Geben Sie die Details der BigQuery-Tabelle ein, in der die Datenprofile gespeichert werden sollen:

    • Geben Sie unter Projekt-ID die ID eines vorhandenen Projekts ein, in das Datenprofile exportiert werden sollen.

    • Geben Sie unter Dataset-ID den Namen eines vorhandenen Datasets in das Projekt ein, in das Datenprofile exportiert werden sollen.

    • Geben Sie unter Tabellen-ID einen Namen für die BigQuery-Tabelle ein, in die Datenprofile exportiert werden sollen. Wenn Sie diese Tabelle nicht erstellt haben, erstellt Cloud DLP sie automatisch mit dem von Ihnen angegebenen Namen.

Cloud DLP beginnt ab dem Zeitpunkt, an dem Sie diese Option aktivieren, Profile zu exportieren. Profile, die vor dem Aktivieren des Exports generiert wurden, werden nicht in BigQuery gespeichert.

In Pub/Sub veröffentlichen

Wenn Sie In Pub/Sub veröffentlichen aktivieren, können Sie programmatische Aktionen ausführen, die auf Profiling-Ergebnissen basieren. Mit Pub/Sub-Benachrichtigungen können Sie einen Workflow zum Auffangen und Beheben von Ergebnissen mit erheblichem Datenrisiko oder hoher Empfindlichkeit entwickeln.

So senden Sie Benachrichtigungen an ein Pub/Sub-Thema:

  1. Aktivieren Sie In Pub/Sub veröffentlichen.

    Eine Liste mit Optionen wird angezeigt. Jede Option beschreibt ein Ereignis, das Cloud DLP dazu veranlasst, eine Benachrichtigung an Pub/Sub zu senden.

  2. Wählen Sie die Ereignisse aus, die eine Pub/Sub-Benachrichtigung auslösen sollen.

    Wenn Sie Pub/Sub-Benachrichtigung bei jeder Aktualisierung eines Profils senden auswählen, sendet Cloud DLP eine Benachrichtigung, wenn sich die folgenden Messwerte auf Tabellenebene ändern:

    • Datenrisiko
    • Sensitivity (Vertraulichkeit)
    • Vorhergesagte infoTypes
    • Andere infoTypes
    • Öffentlich
    • Verschlüsselung
  3. Gehen Sie für jedes ausgewählte Ereignis so vor:

    1. Geben Sie den Namen des Themas ein. Der Name muss das folgende Format haben:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Dabei gilt:

      • PROJECT_ID: Die ID des Projekts, das mit dem Pub/Sub-Thema verknüpft ist.
      • TOPIC_ID: die ID des Pub/Sub-Themas.
    2. Geben Sie an, ob das vollständige Tabellenprofil in der Benachrichtigung enthalten ist oder nur der vollständige Ressourcenname der Tabelle, für die ein Profil erstellt wurde.

    3. Legen Sie das minimale Datenrisiko und die Vertraulichkeitsstufen fest, die erfüllt werden müssen, damit Cloud DLP eine Benachrichtigung sendet.

    4. Geben Sie an, ob nur eine oder beide Bedingungen für das Datenrisiko und die Sensibilität erfüllt sein müssen. Wenn Sie beispielsweise AND auswählen, müssen sowohl das Datenrisiko als auch die Bedingungen für die Vertraulichkeit erfüllt sein, bevor Cloud DLP eine Benachrichtigung sendet.

Dienst-Agent-Container und Abrechnung verwalten

In diesem Abschnitt geben Sie das Projekt an, das als Dienst-Agent-Container verwendet werden soll. Sie können Cloud DLP automatisch ein neues Projekt erstellen lassen oder ein vorhandenes Projekt auswählen.

  • Wenn Sie keinen Dienst-Agent-Container haben, wählen Sie Neues Projekt als Dienst-Agent-Container erstellen aus.

    Cloud DLP erstellt ein neues Projekt mit dem Namen DLP-Dienst-Agent-Container. Dieses Projekt ist praktisch ein reguläres Google Cloud-Projekt, das einen neuen Dienst-Agent enthält. Sie werden von Cloud DLP aufgefordert, das Konto auszuwählen, über das alle abrechenbaren Vorgänge im Zusammenhang mit diesem Projekt abgerechnet werden sollen, einschließlich Vorgängen, die nicht mit der Datenprofilerstellung zusammenhängen.

    Diese Option ist deaktiviert, wenn Sie nicht die erforderlichen Berechtigungen zum Erstellen von Projekten haben. Informationen zu den erforderlichen Berechtigungen finden Sie unter Rollen für die Arbeit mit Datenprofilen auf Organisations- oder Ordnerebene.

  • Wenn Sie einen vorhandenen Dienst-Agent-Container wiederverwenden möchten, wählen Sie Vorhandenen Dienst-Agent-Container auswählen aus. Klicken Sie dann auf Durchsuchen, um die Projekt-ID des Dienst-Agent-Containers auszuwählen.

Unabhängig davon, ob Sie einen neu erstellten Dienst-Agent verwenden oder einen vorhandenen verwenden, müssen Sie dafür sorgen, dass er Lesezugriff auf die Daten hat, für die ein Profil erstellt werden soll.

Speicherort für Konfiguration festlegen

Klicken Sie auf die Liste Ressourcenstandort und wählen Sie die Region aus, in der diese Scankonfiguration gespeichert werden soll. Alle später erstellten Scankonfigurationen werden ebenfalls an diesem Speicherort gespeichert.

Der Speicherort, an dem Sie die Scankonfiguration speichern, hat keinen Einfluss auf die zu scannenden Daten. Außerdem wirkt sich dies nicht darauf aus, wo die Datenprofile gespeichert werden. Die Daten werden in derselben Region gescannt, in der sie gespeichert sind (wie in BigQuery festgelegt). Weitere Informationen finden Sie unter Überlegungen zum Datenstandort.

Überprüfen und erstellen

  1. Wenn Sie die Profilerstellung nicht kurz nach dem Erstellen der Scankonfiguration starten möchten, wählen Sie Scan im pausierten Modus erstellen.

    Diese Option ist in folgenden Fällen hilfreich:

    • Ihr Google Cloud-Administrator muss dem Dienst-Agent weiterhin Zugriff auf Datenprofile gewähren.
    • Sie möchten mehrere Scankonfigurationen erstellen und andere möchten andere überschreiben.
    • Sie haben sich dafür entschieden, Datenprofile in BigQuery zu speichern und dafür zu sorgen, dass der Dienst-Agent Schreibzugriff auf die Ausgabetabelle hat.
    • Sie haben Pub/Sub-Benachrichtigungen konfiguriert und dem Dienst-Agent Veröffentlichungszugriff gewähren möchten.
  2. Prüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.

    Cloud DLP erstellt die Scankonfiguration und fügt sie der Liste der Konfigurationen hinzu.

Rufen Sie die Liste der Datenprofilkonfigurationen auf, um Ihre Scankonfigurationen aufzurufen oder zu verwalten.

Datenprofilkonfigurationen aufrufen

Wenn Ihr Dienst-Agent die Rollen hat, die für den Zugriff und die Profilerstellung für Ihre Daten erforderlich sind, beginnt Cloud DLP mit dem Scannen Ihrer Daten kurz nach dem Erstellen der Scankonfiguration. Andernfalls zeigt Cloud DLP einen Fehler an, wenn Sie die Details zur Scankonfiguration aufrufen.

Nächste Schritte