Kurzanleitung: Cloud DLP-Inspektionsscan planen

Mit dem Feature Job-Trigger von Cloud Data Loss Prevention (DLP) können Sie Inspektionsscans Ihrer Inhalte planen. Job-Trigger sind Ereignisse, die die Ausführung von Cloud DLP-Jobs zum Scannen von Google Cloud Storage-Repositories (Cloud Storage, BigQuery und Datastore) automatisieren.

Hinweis

Bei dieser Kurzanleitung wird vorausgesetzt, dass Sie bereits ein Speicher-Repository haben, das Sie prüfen möchten. Ist dies nicht der Fall, können Sie auch eines der verfügbaren öffentlichen BigQuery-Datasets prüfen.

  1. Melden Sie sich bei Ihrem Google-Konto an.

    Wenn Sie noch kein Konto haben, melden Sie sich hier für ein neues Konto an.

  2. Wählen Sie in der Cloud Console auf der Seite für die Projektauswahl ein Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

  4. Aktivieren Sie die Cloud DLP API.

    Aktivieren Sie die API

Cloud DLP öffnen

So greifen Sie in der Cloud Console auf Cloud DLP zu:

Zu Cloud DLP

Alternativ können Sie Folgendes tun:

  1. Wenn in der Cloud Console das Navigationsmenü nicht sichtbar ist, klicken Sie links oben auf der Seite auf die Navigationsschaltfläche.
  2. Bewegen Sie den Mauszeiger über Sicherheit und klicken Sie dann auf Data Loss Prevention.

Die Hauptseite von Cloud DLP wird geöffnet.

Neuen Job-Trigger anlegen und Eingabedaten auswählen

So erstellen Sie einen Job-Trigger in Cloud DLP:

  1. Öffnen Sie in der Cloud Console Cloud DLP.

    Zu Cloud DLP

  2. Wählen Sie im Menü Create (Erstellen) die Option Job or job trigger (Job oder Job-Trigger) aus.

    Klicken Sie alternativ auf die folgende Schaltfläche:

    Neuen Job-Trigger erstellen

  3. Geben Sie auf der Seite "Job oder Job-Trigger erstellen" als Erstes einen Namen für den Job ein. Sie können Buchstaben, Zahlen und Bindestriche verwenden.

  4. Wählen Sie anschließend im Menü Speichertyp aus, in welcher Art Repository die zu prüfenden Daten gespeichert sind – Cloud Storage, BigQuery oder Datastore:

    • Geben Sie für Cloud Storage entweder die URL des Buckets an, den Sie prüfen möchten, oder wählen Sie im Menü Standorttyp die Option Einschließen/Ausschließen aus und klicken Sie dann auf Durchsuchen, um zum Bucket oder Unterordner zu wechseln, den Sie prüfen möchten. Klicken Sie auf das Kästchen Ordner rekursiv scannen, um das angegebene Verzeichnis und alle enthaltenen Verzeichnisse zu prüfen. Wenn Sie nur das angegebene Verzeichnis ohne Unterverzeichnisse prüfen möchten, klicken Sie das Kästchen nicht an.
    • Geben Sie für BigQuery die IDs von Projekt, Dataset und Tabelle ein, unter denen die zu prüfenden Daten zu finden sind.
    • Geben Sie für Cloud Datastore die IDs von Projekt, Namespace und Art ein, unter denen die zu prüfenden Daten zu finden sind.

Wenn Sie den Datenspeicherort und die erweiterten Konfigurationsdetails festgelegt haben, klicken Sie auf Weiter.

Erkennungsparameter konfigurieren

Im Abschnitt Erkennung konfigurieren legen Sie die Typen sensibler Daten fest, nach denen Sie suchen möchten.

Übernehmen Sie für diese Kurzanleitung in diesen Abschnitten die Standardeinstellungen. Dies führt dazu, dass Cloud DLP einen Teil des angegebenen Daten-Repositorys (50 % aller Dateien in Cloud Storage; bis zu 1.000 Zeilen in BigQuery) auf alle grundlegenden integrierten Informationstypen (infoTypes) prüft.

Ausführliche Informationen zu den Einstellungen in diesem Abschnitt finden Sie in der Anleitung "Job-Trigger erstellen" unter Erkennung konfigurieren.

Aktionen zur Ausführung nach der Prüfung hinzufügen

Im Abschnitt Add Actions (Aktionen hinzufügen) können Sie Aktionen festlegen, die Cloud DLP nach Abschluss des Inspektionsscans mit den Ergebnissen ausführen soll. In diesem Schritt speichern Sie die Inspektionsergebnisse in einer neuen BigQuery-Tabelle.

Eine ausführliche Erläuterung der einzelnen Optionen finden Sie im Artikel "Cloud DLP-Inspektionsjobs und Job-Trigger erstellen" unter Aktionen hinzufügen.

Klicken Sie auf die Ein-/Aus-Schaltfläche In BigQuery speichern. Geben Sie, wie im folgenden Screenshot gezeigt, im Feld Projekt-ID die Projekt-ID ein. Geben Sie im Feld Dataset-ID den Namen ein, den Sie dem Dataset zugewiesen haben. Lassen Sie das Feld Tabellen-ID leer, damit Cloud DLP eine neue Tabelle erstellt. Wenn Sie fertig sind, klicken Sie auf Weiter.

Weitere Informationen zu Aktionen finden Sie im Konzeptthema Aktionen.

Zeitplan festlegen

Geben Sie im Abschnitt Schedule (Zeitplan) an, wie oft Cloud DLP den Job-Trigger starten und den gerade angegebenen Job ausführen soll.

Wählen Sie im Menü die Option Create a trigger to run the job on a periodic schedule (Trigger zum Ausführen des Jobs nach einem regelmäßigen Zeitplan erstellen) aus. Das Standardintervall für die Jobausführung beträgt 24 Stunden. Sie können diesen Wert auf einen beliebigen Wert zwischen 1 und 60 Tagen ändern. Geben Sie das Intervall in Stunden, Tagen oder Wochen an.

Klicken Sie das Kästchen Scans auf neue oder geänderte Inhalte beschränken, wenn vorherige Scans abgeschlossen sind an, um nur Inhalte zu prüfen, die seit der letzten Prüfung neu hinzugekommen sind. Dies gilt allerdings nur für Inhalte, die hinzugefügt wurden, seit das Speicher-Repository zuletzt von ausgelösten Jobs dieses Job-Triggers geprüft worden war.

Klicken Sie auf Weiter.

Job-Trigger ansehen

Der Abschnitt Review (Ansehen) enthält eine Zusammenfassung der gerade angegebenen Jobeinstellungen im JSON-Format.

Klicken Sie auf Create (Erstellen), um den Job-Trigger anzulegen.

Job-Trigger ausführen und Ergebnisse ansehen

Nachdem Sie den Job-Trigger erstellt haben, wird die Seite Triggerdetails angezeigt.

Wenn Sie einen Job sofort auslösen möchten, klicken Sie oben im Bildschirm auf Jetzt ausführen.

Jobs, die durch diesen Job-Trigger ausgelöst wurden, werden auf der Detailseite im Abschnitt Ausgelöste Jobs aufgeführt. Nachdem der von Ihnen erstellte Job-Trigger einmal ausgeführt worden ist, wählen Sie den Job aus, indem Sie unter der Spalte Name auf seinen Namen klicken.

Auf der Seite Jobdetails sind als Erstes die Ergebnisse des Jobs aufgeführt. Danach folgen Informationen dazu, was geprüft worden ist.

Wenn Sie die Ergebnisse in BigQuery speichern möchten, klicken Sie auf der Seite Triggerdetails auf Ergebnisse in BigQuery abrufen. Innerhalb des von Ihnen angegebenen Datasets hat Cloud DLP eine neue Tabelle mit den Ergebnissen des Scans erstellt. Wenn Cloud DLP keine Übereinstimmungen mit Ihren Suchkriterien gefunden hat, ist keine neue Tabelle vorhanden.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen in Rechnung gestellt werden:

Projekt löschen

Am einfachsten vermeiden Sie weitere Kosten durch Löschen des für die Anleitung erstellten Projekts.

So löschen Sie das Projekt:

  1. Wechseln Sie in der Cloud Console zur Seite Ressourcen verwalten.

    Zur Seite "Ressourcen verwalten"

  2. Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie dann auf Löschen .
  3. Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Beenden, um das Projekt zu löschen.

Job-Trigger löschen

Wenn Sie den Job-Trigger in einem vorhandenen Projekt erstellt haben, das Sie behalten möchten:

  1. Wählen Sie ggf. im Menü oben in der Cloud Console den Namen des Projekts aus, in dem Sie einen Job-Trigger erstellt haben. Öffnen Sie dann in der Cloud Console Cloud DLP.

    Zu Cloud DLP

  2. Klicken Sie auf den Tab Job triggers (Job-Trigger). In der Console wird eine Liste aller Job-Trigger für das aktuelle Projekt angezeigt.

  3. In der Spalte Aktionen für den Job-Trigger, den Sie löschen möchten, klicken Sie auf das Menü Weitere Aktionen Menü (drei vertikal angeordnete Punkte) und klicken Sie dann auf Löschen.

Alternativ können Sie in der Liste der Job-Trigger auf den Namen des Jobs klicken, den Sie löschen möchten. Klicken Sie dann auf der Detailseite des Job-Triggers auf Löschen.

Weitere Informationen

  • Weitere Informationen zum Erstellen von Inspektionsjobs und Job-Triggern mithilfe von Cloud DLP in der Cloud Console, über die Cloud DLP API oder über Clientbibliotheken in mehreren Programmiersprachen: Cloud DLP-Inspektionsjobs und Job-Trigger erstellen