Dati del profilo di un'organizzazione o una cartella

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive come configurare la profilazione a livello di organizzazione o cartella. Se vuoi profilare un progetto, consulta Dati del profilo in un singolo progetto.

Per ulteriori informazioni sui profili di dati, consulta Profili di dati per dati BigQuery.

Per iniziare a creare dati di profilazione, devi creare una configurazione di scansione.

Prima di iniziare

  1. Verifica di disporre delle autorizzazioni IAM necessarie per configurare i profili di dati a livello di organizzazione.

    Se non hai il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Tuttavia, dopo aver creato la configurazione della scansione, una persona con uno di questi ruoli deve concedere l'accesso alla profilazione dei dati all'agente di servizio.

  2. Devi avere un modello di ispezione in ogni area geografica in cui disponi di dati da profilare. Se vuoi utilizzare un unico modello per più regioni, puoi utilizzare un modello che è memorizzato nella regione global. Se i criteri dell'organizzazione ti impediscono di creare un modello di ispezione global, devi impostare un modello di ispezione dedicato per ogni regione. Per ulteriori informazioni, consulta la sezione Considerazioni sulla residenza dei dati.

    Questa attività consente di creare un modello di ispezione solo nella regione global. Se ti servono modelli di ispezione dedicati per una o più aree geografiche, devi creare i modelli prima di eseguire questa attività.

  3. Puoi configurare Cloud DLP per inviare notifiche a Pub/Sub quando si verificano determinati eventi, ad esempio quando Cloud DLP profila una nuova tabella. Se vuoi utilizzare questa funzionalità, devi prima creare un argomento Pub/Sub.

Per generare profili di dati, sono necessari un container dell'agente di servizio e un agente di servizio. Questa attività ti consente di crearli automaticamente.

Creazione di una configurazione di scansione

  1. Vai alla pagina Crea configurazione di scansione.

    Vai a Crea configurazione di scansione

  2. Se necessario, vai alla tua organizzazione. Nella barra degli strumenti, fai clic sul selettore dei progetti e seleziona la tua organizzazione.

    Screenshot del selettore progetti sulla barra degli strumenti

Le sezioni seguenti forniscono ulteriori informazioni sui passaggi nella pagina Crea configurazione di scansione. Alla fine di ogni sezione, fai clic su Continua.

Seleziona risorsa da scansionare

Esegui una di queste operazioni:

  • Per configurare la profilazione a livello di organizzazione, seleziona Esegui la scansione dell'intera organizzazione.
  • Per configurare la profilazione a livello di cartella, seleziona Esegui la scansione della cartella selezionata. Quindi, fai clic su Sfoglia e seleziona la cartella.

Gestisci pianificazioni

Se la frequenza di profilazione predefinita è adatta alle tue esigenze, puoi saltare questa sezione della pagina Crea configurazione di scansione. Questa sezione è utile se vuoi apportare modifiche granulari alla frequenza di profilazione di tutti i tuoi dati o di determinati sottoinsiemi di dati. È utile anche se non vuoi che alcune tabelle vengano profilate o se vuoi che vengano profilate una volta e poi non più.

In questa sezione creerai filtri per specificare determinati sottoinsiemi di dati di tuo interesse. Per questi sottoinsiemi, devi definire se Cloud DLP deve profilare le tabelle e con quale frequenza. Qui specifichi anche i tipi di modifiche che devono essere riprofilate in una tabella. Infine, devi specificare tutte le condizioni che ogni tabella nei sottoinsiemi deve soddisfare prima che Cloud DLP inizi a profilare la tabella.

Per apportare modifiche granulari alla frequenza di profilazione, segui questi passaggi:

  1. Fai clic su Aggiungi pianificazione.

  2. Nella sezione Filtri, definisci uno o più filtri che specificano quali tabelle rientrano nell'ambito della pianificazione.

    Specifica almeno una delle seguenti opzioni:

    • Un ID progetto o un'espressione regolare che specifica uno o più progetti.
    • Un ID set di dati o un'espressione regolare che specifica uno o più set di dati.
    • Un ID tabella o un'espressione regolare che specifica una o più tabelle.

    Le espressioni regolari devono seguire la sintassi RE2.

    Ad esempio, se vuoi che tutte le tabelle di un progetto siano incluse nel filtro, specifica l'ID del progetto e lascia vuoti gli altri due campi.

    Se vuoi aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questo passaggio.

  3. Fai clic su Frequenza.

  4. Nella sezione Frequenza, specifica se Cloud DLP deve profilare le tabelle definite nei filtri e, in caso affermativo, con quale frequenza:

    • Se non vuoi mai profilare le tabelle, disattiva Profila le tabelle.

    • Se vuoi che le tabelle vengano profilate almeno una volta, lascia attiva l'opzione Profila le tabelle e segui questi passaggi:

      1. Nel campo Quando vengono apportate modifiche allo schema, specifica quando vuoi che le tabelle vengano riprofilate in caso di modifiche apportate allo schema dopo l'ultima profilazione.

        • Non riprofilare: non ripetere mai la profilazione dopo aver generato i profili iniziali.
        • Nuova profilazione ogni giorno: una nuova profilazione ogni 24 ore.
        • Nuova profilazione ogni mese: riprofila una volta ogni 30 giorni.

      2. In Tipi di modifica dello schema, specifica i tipi di modifica dello schema che devono attivare un'operazione di nuovo profilo:

        • Nuove colonne: riprofila le tabelle che hanno acquisito nuove colonne.
        • Colonne rimosse: riprofila le tabelle delle colonne rimosse.

        Supponi di voler eseguire operazioni di riprofilazione ogni 24 ore. Inoltre, vuoi riprofilare solo le tabelle che hanno acquisito nuove colonne dopo il loro ultimo profilo. In questo caso, imposta Quando cambia lo schema su Nuova profilazione ogni giorno e Tipi di modifica dello schema su Nuove colonne.

      3. Nel campo Quando la tabella cambia, specifica quando vuoi che le tabelle vengano riprofilate in caso di modifiche dopo l'ultimo profilo. Esempi di modifiche alla tabella sono le eliminazioni di righe e le modifiche di schema.

        • Non riprofilare: non ripetere mai la profilazione dopo aver generato i profili iniziali.
        • Nuova profilazione ogni giorno: una nuova profilazione ogni 24 ore.
        • Nuova profilazione ogni mese: riprofila una volta ogni 30 giorni.

      Devi selezionare un valore uguale o inferiore rispetto al valore impostato nel campo Quando viene modificato lo schema.

  5. Fai clic su Condizioni.

  6. Nella sezione Condizioni, specifica eventuali condizioni che le tabelle, definite nei tuoi filtri, devono soddisfare prima dei profili Cloud DLP. Se imposti condizioni minime e la condizione temporale, Cloud DLP profila solo le tabelle che soddisfano entrambi i tipi di condizioni.

    • Condizioni minime: queste condizioni sono utili se vuoi ritardare la profilazione di una tabella finché non ha un numero sufficiente di righe o non raggiunge una determinata età. Attiva le condizioni che vuoi applicare e specifica il numero minimo di righe o la durata.
    • Condizione temporale: questa condizione è utile se non vuoi che le tabelle precedenti vengano profilate. Attiva la condizione temporale e scegli una data e un'ora. Le tabelle create in quella data o prima di tale data sono escluse dalla profilazione.

    Supponi di avere la seguente configurazione:

    • Condizioni minime

      • Numero minimo di righe: 10
      • Durata minima: 24 ore

    • Condizione temporale

      • Timestamp: 04/05/22, 23:59

    In questo caso, Cloud DLP esclude qualsiasi tabella creata il 4 maggio 2022 o prima delle 23:59. Tra le tabelle create dopo questa data e ora, Cloud DLP profila solo le tabelle con 10 righe o risalenti ad almeno 24 ore fa.

  7. Nella sezione Tabelle da profilare, seleziona una delle seguenti opzioni, a seconda dei tipi di tabelle che vuoi profilare:

    • Profila tutte le tabelle: seleziona questa opzione se vuoi che Cloud DLP profili tutti i tipi di tabelle che corrispondono ai filtri e alle condizioni di tempo.

      Per i tipi di tabella non supportati, Cloud DLP genera solo profili parzialmente completati. Questi profili mostrano errori che indicano che le tabelle a cui si riferiscono non sono supportate. Seleziona questa opzione se vuoi visualizzare i profili parziali nonostante i messaggi di errore.

      Quando Cloud DLP aggiunge il supporto per un nuovo tipo di tabella, riprofila completamente le tabelle di quel tipo durante l'esecuzione pianificata successiva.

    • Tabelle supportate dal profilo: seleziona questa opzione se vuoi che Cloud DLP profili solo le tabelle supportate che corrispondono ai tuoi filtri e alle tue condizioni temporali. Le tabelle non supportate non avranno profili parziali.

    • Tipi di tabelle specifici per il profilo: seleziona questa opzione se vuoi che Cloud DLP profili solo i tipi di tabelle selezionati. Seleziona uno o più tipi nell'elenco visualizzato.

      Quando Cloud DLP aggiunge il supporto per un nuovo tipo di tabella, non profila automaticamente le tabelle di quel tipo. Per profilare i nuovi tipi di tabelle supportati, devi modificare la configurazione della scansione e selezionare tali tipi.

    Se non selezioni un'opzione, Cloud DLP profila solo le tabelle BigQuery e mostra gli errori per le tabelle non supportate.

    I prezzi per la profilazione dei dati variano a seconda dei tipi di tabelle profilate. Per ulteriori informazioni, consulta la sezione Prezzi della profilazione dei dati.

  8. Fai clic su Fine.

  9. Se vuoi aggiungere altre pianificazioni, fai clic su Aggiungi pianificazione e ripeti i passaggi precedenti.

  10. Per riordinare le programmazioni in base alla priorità, utilizza le frecce su e giù. Ad esempio, se i filtri in due diverse pianificazioni corrispondono alla Tabella A, la pianificazione in cima all'elenco di priorità ha la precedenza.

    L'ultima pianificazione nell'elenco è sempre quella denominata Pianificazione predefinita. Questa pianificazione predefinita copre le tabelle nella risorsa (organizzazione o cartella) selezionata che non corrispondono ad alcuna pianificazione creata. Questa pianificazione predefinita segue la frequenza di profilazione predefinita di sistema.

  11. Se vuoi modificare la pianificazione predefinita, fai clic su Modifica pianificazione e modifica le impostazioni in base alle esigenze.

Seleziona modello di ispezione

A seconda di come vuoi fornire una configurazione di ispezione, scegli una delle seguenti opzioni. Indipendentemente dall'opzione scelta, Cloud DLP analizza i tuoi dati nell'area geografica in cui hai configurato BigQuery per l'archiviazione dei dati. I tuoi dati BigQuery non lasciano la regione di origine.

Opzione 1: crea un modello di ispezione

Scegli questa opzione se vuoi creare un nuovo modello di ispezione nella regione global.

  1. Fai clic su Crea nuovo modello di ispezione.

  2. (Facoltativo) Per modificare la selezione predefinita di infoType, fai clic su Gestisci infoType. Utilizza il filtro per trovare e selezionare infoType. Poi fai clic su Fine.

  3. (Facoltativo) Configura ulteriormente il modello di ispezione aggiungendo i set di regole e impostando una soglia di confidenza. Per maggiori informazioni, consulta Configurare il rilevamento.

    Quando Cloud DLP crea la configurazione di scansione, archivia questo nuovo modello di ispezione nella regione global.

Opzione 2: utilizza un modello di ispezione esistente

Scegli questa opzione se vuoi utilizzare i modelli di ispezione esistenti.

  1. Fai clic su Seleziona il modello di ispezione esistente.

  2. Inserisci il nome completo della risorsa del modello di ispezione che vuoi utilizzare. Il campo Regione viene completato automaticamente con il nome della regione in cui è archiviato il modello di ispezione.

    Il modello di ispezione inserito deve trovarsi nella stessa regione dei dati da profilare. Per rispettare la residenza dei dati, Cloud DLP non utilizza un modello di ispezione al di fuori della propria area geografica.

    Per trovare il nome completo della risorsa di un modello di ispezione, segui questi passaggi:

    1. Vai all'elenco dei modelli di ispezione. Questa pagina si apre in una scheda separata.

      Vai ai modelli di ispezione

    2. Se necessario, passa al progetto che contiene il modello di ispezione che vuoi utilizzare.

    3. Nella scheda Modelli, fai clic sull'ID del modello che vuoi utilizzare.

    4. Nella pagina visualizzata, copia il nome completo della risorsa del modello. Il nome completo della risorsa segue questo formato:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

    5. Nel campo Nome modello della pagina Crea configurazione di scansione, incolla il nome completo della risorsa del modello.

  3. Se disponi di dati in un'altra area geografica e hai un modello di ispezione che vuoi utilizzare per questa area geografica, segui questi passaggi:

    1. Fai clic su Aggiungi modello di ispezione.
    2. Inserisci il nome completo della risorsa del modello di ispezione.

    Ripeti questi passaggi per ogni regione in cui hai un modello di ispezione dedicato.

  4. (Facoltativo) Aggiungi un modello di ispezione archiviato nella regione global. Cloud DLP utilizza automaticamente tale modello per i dati nelle aree geografiche in cui non è disponibile un modello di ispezione dedicato.

Aggiungi azioni

Nelle sezioni seguenti, specifichi le azioni che vuoi che Cloud DLP esegua dopo che ha generato i profili di dati.

Pubblica su Chronicle

Le metriche raccolte dai profili di dati possono aggiungere contesto ai risultati di Chronicle. Il contesto aggiunto può aiutarti a determinare i problemi di sicurezza più importanti da risolvere. Ad esempio, se stai esaminando un particolare agente di servizio in Chronicle, i profili dati possono fornire informazioni sull'accesso dell'agente di servizio alle tabelle con livelli di rischio dei dati elevati.

Per inviare i tuoi profili di dati all'account Chronicle, attiva Pubblica su Chronicle.

Se Chronicle non è abilitata per la tua organizzazione, l'attivazione di questa opzione non avrà alcun effetto.

Salva le copie dei profili dati su BigQuery

L'attivazione di Salva copie del profilo dati in BigQuery ti consente di conservare una copia salvata o la cronologia di tutti i tuoi profili generati. Ciò può essere utile per creare report di controllo e visualizzare i profili di dati. Puoi anche caricare queste informazioni in altri sistemi.

Inoltre, questa opzione ti consente di visualizzare tutti i tuoi profili dati in un'unica visualizzazione, indipendentemente dalla regione in cui si trovano i tuoi dati. Se disattivi questa opzione, puoi comunque visualizzare i profili dei dati nella tua dashboard. Tuttavia, nella dashboard viene selezionata un'area geografica alla volta e vengono visualizzati solo i profili dati per quell'area geografica.

Per esportare copie dei profili di dati in una tabella BigQuery:

  1. Attiva Salva copie del profilo dati in BigQuery.

  2. Inserisci i dettagli della tabella BigQuery in cui vuoi salvare i profili di dati:

    • In ID progetto, inserisci l'ID di un progetto esistente in cui vuoi esportare i profili di dati.

    • In ID set di dati, inserisci il nome di un set di dati esistente nel progetto in cui vuoi esportare i profili di dati.

    • In ID tabella, inserisci un nome per la tabella BigQuery in cui verranno esportati i profili dei dati. Se non hai creato questa tabella, Cloud DLP la crea automaticamente utilizzando il nome da te indicato.

Cloud DLP inizia a esportare i profili dal momento in cui attivi questa opzione. I profili generati prima di attivare l'esportazione non vengono salvati in BigQuery.

Pubblica in Pub/Sub

L'attivazione di Pubblica su Pub/Sub ti consente di eseguire azioni di pubblicità programmatica in base ai risultati di profilazione. Puoi utilizzare le notifiche Pub/Sub per sviluppare un flusso di lavoro per individuare e risolvere i risultati con un livello elevato di rischio o sensibilità dei dati.

Per inviare notifiche a un argomento Pub/Sub, segui questi passaggi:

  1. Attiva Pubblica su Pub/Sub.

    Viene visualizzato un elenco di opzioni. Ogni opzione descrive un evento che fa sì che Cloud DLP invii una notifica a Pub/Sub.

  2. Seleziona gli eventi che devono attivare una notifica Pub/Sub.

    Se selezioni Invia una notifica Pub/Sub ogni volta che un profilo viene aggiornato, Cloud DLP invia una notifica quando si verifica una modifica nelle seguenti metriche a livello di tabella:

    • Rischio dei dati
    • Riservatezza
    • InfoType previsti
    • Altri infoType
    • Pubblico
    • Crittografia

  3. Per ogni evento selezionato, procedi nel seguente modo:

    1. Inserisci il nome dell'argomento. Il nome deve essere nel seguente formato:

      projects/PROJECT_ID/topics/TOPIC_ID

      Sostituisci quanto segue:

      • PROJECT_ID: l'ID del progetto associato all'argomento Pub/Sub.
      • TOPIC_ID: l'ID dell'argomento Pub/Sub.

    2. Specifica se includere nella notifica il profilo completo della tabella o solo il nome completo della risorsa che è stato profilato.

    3. Imposta i livelli minimi di rischio e sensibilità dei dati che devono essere soddisfatti affinché Cloud DLP invii una notifica.

    4. Specifica se deve essere soddisfatta una o entrambe le condizioni di rischio e sensibilità dei dati. Ad esempio, se scegli AND, sia il rischio dati sia le condizioni di sensibilità devono essere soddisfatti prima che Cloud DLP invii una notifica.

Gestisci container e fatturazione dell'agente di servizio

In questa sezione, specifichi il progetto da utilizzare come container dell'agente di servizio. Puoi fare in modo che Cloud DLP crei automaticamente un nuovo progetto oppure puoi scegliere un progetto esistente.

  • Se non hai un container dell'agente di servizio, seleziona Crea un nuovo progetto come container dell'agente di servizio.

    Cloud DLP crea un nuovo progetto denominato Container Service Agent DLP. Questo è in effetti un progetto regolare di Google Cloud che contiene un nuovo agente di servizio. Cloud DLP ti chiede di selezionare l'account per fatturare tutte le operazioni fatturabili correlate a questo progetto, incluse quelle non correlate alla profilazione dei dati.

    Se non hai le autorizzazioni necessarie per creare progetti, questa opzione è disabilitata. Per informazioni sulle autorizzazioni richieste, consulta Ruoli richiesti per utilizzare i profili di dati a livello di organizzazione o di cartella.

  • Se hai un container di un agente di servizio esistente che vuoi riutilizzare, seleziona Seleziona un container di agente di servizio esistente. Quindi, fai clic su Sfoglia per selezionare l'ID progetto del container dell'agente di servizio.

Che tu stia utilizzando un agente di servizio appena creato o riutilizzandone uno esistente, assicurati che abbia accesso in lettura ai dati da profilare.

Imposta la posizione in cui archiviare la configurazione

Fai clic sull'elenco Località delle risorse e seleziona la regione in cui vuoi archiviare la configurazione di scansione. Tutte le configurazioni di scansione create in un secondo momento verranno archiviate anche in questa posizione.

La scelta di archiviare la configurazione della scansione non influisce sui dati da analizzare. Inoltre, non influisce sulla posizione in cui vengono archiviati i profili di dati. I dati vengono analizzati nella stessa regione in cui sono archiviati (come impostato in BigQuery). Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.

Rivedi e crea

  1. Se non vuoi che la profilazione inizi poco dopo la creazione della configurazione della scansione, seleziona Crea scansione in modalità in pausa.

    Questa opzione è utile nei seguenti casi:

    • L'amministratore di Google Cloud deve comunque concedere l'accesso alla profilazione dei dati all'agente di servizio.
    • Vuoi creare più configurazioni di scansione e vuoi che alcune configurazioni sostituiscano altre.
    • Hai scelto di salvare i profili di dati in BigQuery e vuoi assicurarti che l'agente di servizio abbia accesso in scrittura alla tabella di output.
    • Hai configurato le notifiche Pub/Sub e vuoi concedere l'accesso in pubblicazione all'agente di servizio.

  2. Rivedi le impostazioni e fai clic su Create (Crea).

    Cloud DLP crea la configurazione di scansione e la aggiunge all'elenco Configurazioni.

Per visualizzare o gestire le configurazioni di scansione, vai all'elenco delle configurazioni del profilo dati.

Vai a Configurazioni profilo dati

Se l'agente di servizio dispone dei ruoli necessari per accedere ai dati e profilarli, Cloud DLP inizia ad analizzare i dati poco dopo aver creato la configurazione della scansione. In caso contrario, Cloud DLP mostra un errore quando visualizza i dettagli della configurazione della scansione.

Passaggi successivi