Dati del profilo in un singolo progetto

In questa pagina viene descritto come configurare la profilazione a livello di progetto. Se vuoi profilo di un'organizzazione o di una cartella, vedi Dati del profilo in un'organizzazione o una cartella.
  1. Assicurati che l'API Cloud Data Loss Prevention sia abilitata nel tuo progetto:

    1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
    2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

      Vai al selettore progetti

    3. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

    4. Attiva l'API richiesta.

      Abilita l'API

    5. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

      Vai al selettore progetti

    6. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

    7. Attiva l'API richiesta.

      Abilita l'API

  2. Verifica di disporre delle autorizzazioni IAM necessarie per configurare i profili di dati a livello di progetto.

  3. Puoi configurare Cloud DLP per l'invio di notifiche a Pub/Sub quando si verificano determinati eventi, ad esempio quando Cloud DLP definisce una nuova tabella. Se vuoi utilizzare questa funzionalità, devi prima creare un argomento Pub/Sub.

Creazione di una configurazione di scansione

Per creare una configurazione di scansione, svolgi i passaggi riportati nelle sezioni seguenti. Alla fine di ogni sezione, fai clic su Continua.

  1. Vai alla pagina Crea configurazione di scansione.

    Vai a Crea configurazione scansione

  2. Se necessario, vai al progetto. Nella barra degli strumenti, fai clic sul selettore del progetto e seleziona il tuo progetto.

    Screenshot del selettore progetti nella barra degli strumenti

Le seguenti sezioni forniscono ulteriori informazioni sui passaggi da seguire nella pagina Crea configurazione di scansione.

Seleziona risorsa da scansionare

Assicurati che l'opzione Esegui la scansione dell'intero progetto sia selezionata.

Gestisci pianificazioni

Se la frequenza di profilazione predefinita è adatta alle tue esigenze, puoi saltare questa sezione della pagina Creare una configurazione di scansione. Questa sezione è utile se vuoi apportare modifiche dettagliate alla frequenza di profilazione di tutti i dati o di alcuni sottoinsiemi di dati. È utile anche se non vuoi che alcune tabelle vengano profilate o che tu lo faccia una sola volta e poi mai più.

In questa sezione puoi creare filtri per specificare determinati sottoinsiemi di dati di interesse. Per questi sottoinsiemi, devi definire se Cloud DLP deve strutturare le tabelle e con quale frequenza. In questa sezione puoi anche specificare i tipi di modifiche che devono causare un nuovo profilazione di una tabella. Infine, devi specificare le condizioni che ogni tabella nei sottoinsiemi deve soddisfare prima che Cloud DLP inizi a profilare la tabella.

Per apportare modifiche dettagliate alla frequenza di profilazione, procedi nel seguente modo:

  1. Fai clic su Aggiungi pianificazione.
  2. Nella sezione Filtri, definisci uno o più filtri che specificano quali tabelle sono incluse nell'ambito della pianificazione.

    Specifica almeno uno dei seguenti:

    • Un ID progetto o un'espressione regolare che specifica uno o più progetti.
    • Un ID set di dati o un'espressione regolare che specifica uno o più set di dati.
    • Un ID tabella o un'espressione regolare che specifica una o più tabelle.

    Le espressioni regolari devono seguire la sintassi RE2.

    Ad esempio, se vuoi che tutte le tabelle di un set di dati siano incluse nel filtro, specifica tale ID e lascia vuoti gli altri campi.

    Se vuoi aggiungere altri filtri, fai clic su Aggiungi filtro e ripeti questo passaggio.

  3. Fai clic su Frequenza.

  4. Nella sezione Frequenza, specifica se Cloud DLP deve creare un profilo per le tabelle definite nei filtri e, in tal caso, con quale frequenza:

    • Se non vuoi mai che le tabelle siano profilate, disattiva Profilo delle tabelle.

    • Se vuoi che le tabelle siano profilate almeno una volta, lascia attivato Profilo le tabelle e segui questi passaggi:

      1. Nel campo Quando modifica lo schema, specifica quando vuoi che le tabelle vengano riprodotte se vengono sottoposte a modifiche dello schema dopo l'ultima modifica al profilo.

        • Non effettuare nuovamente il profilo: non ripetere mai il profilo dopo la generazione dei profili iniziali.
        • Riprofilo giornaliero: consente di eseguire un nuovo profilo ogni 24 ore.
        • Riprofilo mensile: consente di eseguire un nuovo profilo una volta ogni 30 giorni.
      2. Per Tipi di modifica dello schema, specifica i tipi di modifica dello schema che devono attivare un'operazione di riprofilo:

        • Nuove colonne: riproponi le tabelle che hanno ottenuto nuove colonne.
        • Colonne rimosse: consente di riproporre le tabelle in cui sono state rimosse le colonne.

        Supponi di voler eseguire le operazioni di riprofilo ogni 24 ore. Inoltre, vuoi ricreare il profilo solo per le tabelle che hanno ottenuto nuove colonne dopo l'ultimo profilo. In questo caso, imposta Quando lo schema cambia su Reprofile giornaliero e imposta Tipi di modifica dello schema su Nuove colonne.

      3. Nel campo Quando la tabella viene modificata, specifica quando vuoi che le tabelle vengano nuovamente ridimensionate se vengono modificate dopo l'ultima modifica. Esempi di modifiche alle tabelle sono le eliminazioni di righe e le modifiche allo schema.

        • Non effettuare nuovamente il profilo: non ripetere mai il profilo dopo la generazione dei profili iniziali.
        • Riprofilo giornaliero: consente di eseguire un nuovo profilo ogni 24 ore.
        • Riprofilo mensile: consente di eseguire un nuovo profilo una volta ogni 30 giorni.

      Devi selezionare un valore uguale o inferiore al valore impostato nel campo Quando lo schema cambia.

  5. Fai clic su Condizioni.

  6. Nella sezione Condizioni, specifica tutte le condizioni che le tabelle definite nei filtri devono soddisfare prima di utilizzarle per i profili Cloud DLP. Se imposti le condizioni minime e la condizione temporale, Cloud DLP elenca solo le tabelle che soddisfano entrambi i tipi di condizioni.

    • Condizioni minime: queste condizioni sono utili se vuoi ritardare la profilazione di una tabella finché non ha un numero sufficiente di righe o finché non raggiunge una determinata età. Attiva le condizioni che vuoi applicare e specifica il numero minimo di righe o la durata.
    • Condizione temporale: questa condizione è utile se non vuoi che le tabelle precedenti vengano mai profilate. Attiva la condizione temporale e scegli data e ora. Qualsiasi tabella creata in tale data o prima viene esclusa dalla profilazione.

    Supponi di avere la seguente configurazione:

    • Condizioni minime

      • Numero minimo di righe: 10
      • Durata minima: 24 ore
    • Condizione temporale

      • Timestamp: 4/5/22, 23:59

    In questo caso, Cloud DLP esclude qualsiasi tabella creata prima delle ore 23:59 del 4 maggio 2022. Tra le tabelle create dopo questa data e ora, Cloud DLP stabilisce un profilo solo per le tabelle che hanno 10 righe o risalgono ad almeno 24 ore prima.

  7. Fai clic su Fine.

  8. Se vuoi aggiungere altre pianificazioni, fai clic su Aggiungi pianificazione e ripeti i passaggi precedenti.

  9. Per riordinare le programmazioni in base alla priorità, usa le frecce su e giù. Ad esempio, se i filtri in due diverse pianificazioni corrispondono alla Tabella A, la pianificazione più in alto nell'elenco delle priorità ha la precedenza.

    L'ultima pianificazione nell'elenco è sempre quella con l'etichetta Predefinita. Questa pianificazione predefinita copre le tabelle del progetto che non corrispondono a nessuna delle pianificazioni create. Questa pianificazione predefinita segue la frequenza di profilazione predefinita di sistema.

  10. Se vuoi modificare la pianificazione predefinita, fai clic su Modifica pianificazione e modifica le impostazioni in base alle tue esigenze.

Seleziona modello di ispezione

A seconda di come vuoi fornire una configurazione di ispezione, scegli una delle seguenti opzioni. Indipendentemente dall'opzione scelta, Cloud DLP esegue la scansione dei dati nell'area geografica in cui hai configurato BigQuery per archiviare tali dati. I tuoi dati BigQuery non lasciano l'area geografica di origine.

Opzione 1: crea un modello di ispezione

Scegli questa opzione se vuoi creare un nuovo modello di ispezione nell'area geografica global.

  1. Fai clic su Crea nuovo modello di ispezione.
  2. (Facoltativo) Per modificare la selezione predefinita degli infoType, fai clic su Gestisci infoType. Utilizza il filtro per trovare e selezionare infoType. Poi, fai clic su Fine.

  3. (Facoltativo) Configura ulteriormente il modello di ispezione aggiungendo set di regole e impostando una soglia di affidabilità. Per ulteriori informazioni, consulta la pagina Configurare il rilevamento.

    Quando Cloud DLP crea la configurazione di scansione, archivia questo nuovo modello di ispezione nell'area geografica global.

Opzione 2: utilizza un modello di ispezione esistente

Scegli questa opzione se hai modelli di ispezione esistenti che vuoi utilizzare.

  1. Fai clic su Seleziona modello di ispezione esistente.

  2. Inserisci il nome completo della risorsa del modello di ispezione che vuoi utilizzare. Il campo Regione viene compilato automaticamente con il nome dell'area geografica in cui è archiviato il modello di ispezione.

    Il modello di ispezione inserito deve trovarsi nella stessa area geografica dei dati di cui eseguire il profilo. Per rispettare la residenza dei dati, Cloud DLP non utilizza un modello di ispezione al di fuori della propria area geografica.

    Per trovare il nome completo delle risorse di un modello di ispezione, procedi nel seguente modo:

    1. Vai all'elenco dei modelli di ispezione. Questa pagina si apre in una scheda separata.

      Vai ai modelli di ispezione

    2. Se necessario, passa al progetto contenente il modello di ispezione che vuoi utilizzare.

    3. Nella scheda Modelli, fai clic sull'ID del modello che vuoi utilizzare.

    4. Nella pagina visualizzata, copia il nome completo della risorsa del modello. Il nome completo della risorsa segue questo formato:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. Nel campo Nome modello della pagina Crea configurazione di scansione, incolla il nome completo della risorsa del modello.

  3. Se disponi di dati in un'altra area geografica e hai un modello di ispezione che vuoi utilizzare per tale area geografica, procedi nel seguente modo:

    1. Fai clic su Aggiungi modello di ispezione.
    2. Inserisci il nome completo della risorsa del modello di ispezione.

    Ripeti questi passaggi per ogni area geografica in cui disponi di un modello di ispezione dedicato.

  4. (Facoltativo) Aggiungi un modello di ispezione che è memorizzato nell'area geografica global. Cloud DLP utilizza automaticamente tale modello per i dati nelle aree geografiche in cui non disponi di un modello di ispezione dedicato.

Gestisci risultato scansione

Le sezioni seguenti specificano le azioni che vuoi che Cloud DLP esegua dopo aver generato i profili dati.

Salva le copie dei profili dati su BigQuery

Se attivi l'opzione Salva copie del profilo dati in BigQuery, puoi conservare una copia salvata o la cronologia di tutti i profili generati. Questo può essere utile per creare rapporti di controllo e visualizzare i profili dati. Puoi anche caricare queste informazioni in altri sistemi.

Inoltre, questa opzione consente di visualizzare tutti i profili dati in un'unica visualizzazione, indipendentemente dall'area geografica in cui si trovano i dati. Se disattivi questa opzione, puoi comunque visualizzare i profili di dati nella tua dashboard. Tuttavia, nella dashboard selezioni un'area geografica alla volta e visualizzi solo i profili dati per quell'area geografica.

Per esportare copie dei profili dati in una tabella BigQuery:

  1. Attiva l'opzione Salva copie del profilo dati in BigQuery.

  2. Inserisci i dettagli della tabella BigQuery in cui vuoi salvare i profili dati:

    • In ID progetto, inserisci l'ID di un progetto esistente in cui vuoi esportare i profili dati.

    • Per ID set di dati, inserisci il nome di un set di dati esistente nel progetto in cui vuoi esportare i profili dati.

    • In ID tabella, inserisci un nome per la tabella BigQuery in cui verranno esportati i profili dati. Se non hai creato questa tabella, Cloud DLP la crea automaticamente per te utilizzando il nome da te fornito.

Cloud DLP inizia a esportare i profili dal momento in cui attivi questa opzione. I profili generati prima dell'attivazione dell'esportazione non vengono salvati in BigQuery.

Pubblica in Pub/Sub

Se attivi Pubblica su Pub/Sub, puoi eseguire azioni programmatiche in base ai risultati di profilazione. Puoi utilizzare le notifiche Pub/Sub per sviluppare un flusso di lavoro per recuperare e correggere i risultati con un rischio o una sensibilità dati significativi.

Per inviare notifiche a un argomento Pub/Sub, segui questi passaggi:

  1. Attiva Pubblica su Pub/Sub.

    Viene visualizzato un elenco di opzioni. Ogni opzione descrive un evento che fa sì che Cloud DLP invii una notifica a Pub/Sub.

  2. Seleziona gli eventi che devono attivare una notifica Pub/Sub.

    Se selezioni Invia una notifica Pub/Sub ogni volta che un profilo viene aggiornato, Cloud DLP invia una notifica quando si verifica una modifica nelle seguenti metriche a livello di tabella:

    • Rischio dei dati
    • Sensibilità
    • infoType previsti
    • Altri infoType
    • Pubblica
    • Crittografia
  3. Per ogni evento selezionato, procedi nel seguente modo:

    1. Inserisci il nome dell'argomento. Il nome deve essere nel seguente formato:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Sostituisci quanto segue:

      • PROJECT_ID: l'ID del progetto associato all'argomento Pub/Sub.
      • TOPIC_ID: l'ID dell'argomento Pub/Sub.
    2. Specifica se includere il profilo completo della tabella nella notifica o solo il nome completo della risorsa del profilo.

    3. Imposta il rischio minimo dei dati e i livelli di sensibilità che devono essere soddisfatti affinché Cloud DLP invii una notifica.

    4. Specifica se solo una o entrambe le condizioni di rischio e sensibilità ai dati devono essere soddisfatte. Ad esempio, se scegli AND, sia il rischio dati sia le condizioni di sensibilità devono essere soddisfatti prima che Cloud DLP invii una notifica.

Imposta la posizione in cui archiviare la configurazione

Fai clic sull'elenco Posizione della risorsa e seleziona l'area geografica in cui vuoi archiviare questa configurazione di scansione. Tutte le configurazioni di scansione che creerai in un secondo momento verranno archiviate anche in questa posizione.

La scelta di archiviare la configurazione di scansione non influisce sui dati da analizzare. Inoltre, ciò non influisce sulla posizione in cui sono archiviati i profili dati. I dati vengono scansionati nella stessa area geografica in cui sono archiviati (come impostato in BigQuery). Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.

Rivedi e crea

  1. Se non vuoi iniziare la profilazione poco dopo aver creato la configurazione di scansione, seleziona Crea scansione in modalità in pausa.

    Questa opzione è utile nei seguenti casi:

    • Hai scelto di salvare i profili dati in BigQuery e vuoi assicurarti che l'agente di servizio abbia accesso in scrittura alla tabella di output.
    • Hai configurato le notifiche Pub/Sub e vuoi concedere l'accesso in pubblicazione all'agente di servizio.
  2. Controlla le impostazioni e fai clic su Crea.

    Cloud DLP crea la configurazione di scansione e la aggiunge all'elenco Configurazioni.

Per visualizzare o gestire le configurazioni di scansione, vai all'elenco delle configurazioni del profilo dati.

Vai alle configurazioni dei profili dati

Se l'agente di servizio dispone dei ruoli necessari per accedere ai dati e profili, Cloud DLP inizia a scansionarli subito dopo aver creato la configurazione di scansione. In caso contrario, Cloud DLP mostra un errore quando visualizzi i dettagli della configurazione della scansione.

Passaggi successivi

  • Scopri come visualizzare i profili dati.
  • Scopri come gestire le configurazioni di scansione.
  • Scopri come risolvere i problemi relativi ai profili dati.