快速入门:安排 Cloud DLP 检查扫描

您可以使用 Cloud Data Loss Prevention (DLP) 的作业触发器功能安排对内容进行检查扫描。作业触发器是自动运行 Cloud DLP 作业来扫描 Google Cloud 存储区(Cloud Storage、BigQuery 和 Datastore)的事件。

准备工作

本快速入门假定您已经考虑好了要扫描的存储区。否则,请考虑扫描一个可用的 BigQuery 公共数据集

  1. 登录您的 Google 帐号。

    如果您还没有 Google 帐号,请注册一个新帐号

  2. 在 Google Cloud Console 的项目选择器页面上,选择或创建一个 Google Cloud 项目。

    转到项目选择器页面

  3. 确保您的 Cloud 项目已启用结算功能。 了解如何确认您的项目是否已启用结算功能

  4. 启用 Cloud DLP API。

    启用 API

打开 Cloud DLP

要在 Cloud Console 中访问 Cloud DLP,请执行以下操作:

转到 Cloud DLP

或者,执行以下操作:

  1. 如果 Cloud Console 中未显示导航菜单,请点击页面左上角的导航按钮。
  2. 将光标指向安全,然后点击数据泄露防护

您将看到 Cloud DLP 主页面。

创建新的作业触发器并选择输入数据

如需在 Cloud DLP 中创建作业触发器,请执行以下操作:

  1. 在 Cloud Console 中,打开 Cloud DLP。

    转到 Cloud DLP

  2. 创建菜单中,选择作业或作业触发器

    或者,点击以下按钮:

    创建新的作业触发器

  3. 在“创建作业或作业触发器”页面上,首先输入作业的名称。 可使用字母、数字和连字符。

  4. 接下来,从存储类型菜单中,选择使用哪种存储区(Cloud Storage、BigQuery 或 Datastore)来存储要扫描的数据:

    • 对于 Cloud Storage,请输入您要扫描的存储分区的网址,或从位置类型菜单中选择包含/排除,然后点击浏览以导航到您要扫描的存储分区或子文件夹。如果选中以递归方式扫描文件夹复选框,则扫描指定的目录和所有子目录。如果未选中该复选框,则只扫描指定的目录但不扫描其中的子目录。
    • 对于 BigQuery,请输入要扫描的项目、数据集和表格的标识符。
    • 对于 Datastore,请输入要扫描的项目、命名空间和种类的标识符。

完成指定数据位置和任何高级配置详细信息后,点击继续

配置检测参数

您可以在配置检测部分中指定要扫描的敏感数据类型。

在本快速入门中,请保留这些部分的默认值。这样一来,Cloud DLP 就会扫描您为所有的基本内置信息类型 (infoType) 指定的数据存储区部分(对于 Cloud Storage,扫描所有文件的 50%;对于 BigQuery,则最多扫描 1000 行)。

如需详细了解此部分中的设置,请参阅“创建 Cloud DLP 作业和作业触发器”中的配置检测

添加扫描后操作

您可以在添加操作部分指定 Cloud DLP 在检查扫描完成后对其结果执行的操作。在此步骤中,您需要选择将检查结果保存到新的 BigQuery 表格中。

如需详细了解每种方式,请参阅“创建和安排 Cloud DLP 检查作业”中的添加操作

点击 BigQuery 切换开关。如以下屏幕截图所示,在项目 ID 字段中输入项目标识符。在数据集 ID 字段中,输入您为数据集指定的名称。将表 ID 字段留空,以便让 Cloud DLP 创建新表。完成操作后,请点击继续

如需详细了解操作,请参阅操作概念主题。

设置时间表

时间表部分中,您可以向 Cloud DLP 指明作业触发器的启动频率和刚刚指定的作业的运行频率。

从菜单中选择创建一个触发器来定期运行作业。 作业运行频率的默认值为 24 小时。您可以将此值更改为 1 到 60 天之间的任何值,并以小时数、天数或星期数指定时间跨度。

如果您只想扫描自上次扫描后新增的内容,请选中扫描自上次扫描完成后新增或修改的内容复选框。请注意,此操作只适用于自从上次由该作业触发器生成的作业扫描存储区后添加的内容。

点击继续

查看作业触发器

查看部分包含您刚刚指定的作业设置的 JSON 格式摘要。

点击创建以创建作业触发器。

运行作业触发器并查看结果

创建作业触发器后,即会显示触发器详情页面。

如需立即触发作业,请点击屏幕顶部的立即运行

已由此作业触发器触发的作业会列在详情页面的触发的作业部分。在您创建的作业触发器运行一次后,点击名称列下方的作业名称以选择作业。

作业详情页面会依次列出作业的发现结果以及扫描内容的相关信息。

如果您选择将结果保存到 BigQuery,请在触发器详情页面上点击在 BigQuery 中查看发现结果。在您指定的数据集内,Cloud DLP 已使用扫描结果创建了一个新表。(如果 Cloud DLP 找不到满足搜索条件的任何匹配项,就不会显示新表。)

清理

为避免系统因本快速入门中使用的资源向您的 Google Cloud 帐号收取费用,请按照以下步骤操作。

删除项目

为了避免产生费用,最简单的方法是删除您为本教程创建的项目。

如需删除项目,请执行以下操作:

  1. 在 Cloud Console 中,转到管理资源页面。

    转到“管理资源”页面

  2. 在项目列表中,选择要删除的项目,然后点击删除
  3. 在对话框中输入项目 ID,然后点击关闭以删除项目。

删除作业触发器

如果您在要保留的现有项目中创建了作业触发器,请执行以下操作:

  1. 如有必要,请从 Cloud Console 顶部的菜单中选择您在其中创建了作业触发器的项目的名称。然后在 Cloud Console 中打开 Cloud DLP。

    转到 Cloud DLP

  2. 点击作业触发器标签页。控制台会显示当前项目的所有作业触发器的列表。

  3. 在要删除的作业触发器对应的操作列中,点击更多操作菜单(显示为纵向排列的三个点),然后点击删除

或者,从作业触发器列表中,点击要删除的作业的名称。在作业触发器的详细信息页面上,点击删除

后续步骤

  • 详细了解如何使用 Cloud Console 中的 Cloud DLP、Cloud DLP API 或多种编程语言版本的客户端库创建检查作业和作业触发器:创建和安排 Cloud DLP 检查作业