In dieser Anleitung erfahren Sie, wie Sie mit dem Schutz sensibler Daten eine BigQuery-Tabelle prüfen und die Inspektionsergebnisse an Data Catalog senden.
Darüber hinaus können Sie eine Datenprofilerstellung durchführen, die sich von einem Inspektionsvorgang unterscheidet. Sie können auch Datenprofile an Dataplex senden. Weitere Informationen finden Sie unter Tag-Tabellen in Dataplex auf der Grundlage von Informationen aus Datenprofilen.
Data Catalog ist ein skalierbarer Dienst zur Metadatenverwaltung, mit dem Sie alle Ihre Daten in Google Cloud schnell finden, verwalten und verstehen können.
Der Schutz sensibler Daten ist in Data Catalog eingebunden. Wenn Sie eine Aktion zum Schutz sensibler Daten verwenden, um Ihre BigQuery-Tabellen auf sensible Daten zu prüfen, können Ergebnisse direkt in Form einer Tag-Vorlage an Data Catalog gesendet werden.
Die Schritte in diesem Leitfaden führen zu folgenden Ergebnissen:
- Aktivieren Sie den Schutz von Data Catalog und sensiblen Daten.
- Richten Sie den Schutz sensibler Daten ein, um eine BigQuery-Tabelle zu prüfen.
- Konfigurieren Sie eine Prüfung für den Schutz sensibler Daten, um Inspektionsergebnisse an Data Catalog zu senden.
Weitere Informationen zu Data Catalog finden Sie in der Data Catalog-Dokumentation.
Wenn Sie die Ergebnisse von Datenprofilvorgängen und nicht von Inspektionsjobs an Dataplex senden möchten, lesen Sie stattdessen die Dokumentation zur Profilerstellung für eine Organisation, einen Ordner oder ein Projekt.
Kosten
In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:
- Schutz sensibler Daten
- BigQuery
Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen.
Hinweise
Bevor Sie Ergebnisse der Prüfung zum Schutz sensibler Daten an Data Catalog senden können, müssen Sie Folgendes tun:
- Schritt 1: Abrechnung einrichten
- Schritt 2: Neues Projekt erstellen und neue BigQuery-Tabelle füllen. (Optional)
- Schritt 3: Data Catalog aktivieren.
- Schritt 4: Schutz sensibler Daten aktivieren
In den folgenden Unterabschnitten wird jeder Schritt detailliert beschrieben.
Schritt 1: Abrechnung einrichten
Sie müssen zuerst ein Rechnungskonto einrichten, falls Sie noch keines haben.
Weitere Informationen zum Aktivieren der Abrechnung
Schritt 2: Neues Projekt erstellen und neue BigQuery-Tabelle füllen (optional)
Wenn Sie dieses Feature für eine Produktionsarbeit einrichten oder bereits eine BigQuery-Tabelle haben, die Sie prüfen möchten, öffnen Sie das Google Cloud-Projekt, das die Tabelle enthält, und fahren Sie mit Schritt 3 fort.
Wenn Sie dieses Feature testen und Testdaten prüfen möchten, erstellen Sie ein neues Projekt. Für diesen Schritt benötigen Sie die IAM-Rolle Projektersteller. Weitere Informationen zu IAM-Rollen
- Rufen Sie in der Google Cloud Console die Seite Neues Projekt auf.
- Wählen Sie in der Drop-down-Liste Rechnungskonto das Rechnungskonto aus, dem das Projekt in Rechnung gestellt werden soll.
- Wählen Sie in der Drop-down-Liste Organisation die Organisation aus, in der Sie das Projekt erstellen möchten.
- Wählen Sie in der Drop-down-Liste Speicherort die Organisation oder den Ordner aus, in dem Sie das Projekt erstellen möchten.
- Klicken Sie auf Erstellen, um das Projekt zu erstellen.
Laden Sie anschließend die Beispieldaten herunter und speichern Sie diese:
- Öffnen Sie das Repository für Anleitungen zu Cloud Functions auf GitHub.
- Wählen Sie eine der CSV-Dateien mit Beispieldaten aus und laden Sie die Datei herunter.
- Rufen Sie als Nächstes in der Google Cloud Console BigQuery auf.
- Wählen Sie Ihr Projekt aus.
- Klicken Sie auf Dataset erstellen.
- Klicken Sie auf Tabelle erstellen.
- Klicken Sie auf Hochladen und wählen Sie die Datei aus, die Sie hochladen möchten.
- Geben Sie der Tabelle einen Namen und klicken Sie dann auf Tabelle erstellen.
Schritt 3: Data Catalog aktivieren.
Aktivieren Sie als Nächstes Data Catalog für das Projekt, das die BigQuery-Tabelle enthält, die Sie mit dem Schutz sensibler Daten prüfen möchten.
So aktivieren Sie Data Catalog über die Google Cloud Console:
- Anwendung für Data Catalog registrieren
- Wählen Sie auf der Registrierungsseite in der Drop-down-Liste Projekt erstellen das Projekt aus, das Sie mit Data Catalog verwenden möchten.
- Klicken Sie nach der Auswahl des Projekts auf Weiter.
Data Catalog ist jetzt für Ihr Projekt aktiviert.
Schritt 4: Schutz sensibler Daten aktivieren
Aktivieren Sie den Schutz sensibler Daten für das Projekt, für das Sie Data Catalog aktiviert haben.
So aktivieren Sie den Schutz sensibler Daten über die Google Cloud Console:
- Anwendung für den Schutz sensibler Daten registrieren
- Wählen Sie auf der Registrierungsseite in der Drop-down-Liste Projekt erstellen das Projekt aus, das Sie im vorherigen Schritt ausgewählt haben.
- Klicken Sie nach der Auswahl des Projekts auf Weiter.
Der Schutz sensibler Daten ist jetzt für Ihr Projekt aktiviert.
Inspektionsjob zum Schutz sensibler Daten konfigurieren und ausführen
Sie können einen Inspektionsjob zum Schutz sensibler Daten mithilfe der Google Cloud Console oder der DLP API konfigurieren und ausführen.
Data Catalog-Tag-Vorlagen werden im selben Projekt und in derselben Region wie die BigQuery-Tabelle gespeichert. Wenn Sie eine Tabelle aus einem anderen Projekt prüfen, müssen Sie dem Dienst-Agent für den Schutz sensibler Daten in dem Projekt, in dem sich die BigQuery-Tabelle befindet, die Rolle „Data Catalog TagTemplate Owner“ (roles/datacatalog.tagTemplateOwner
) zuweisen.
Google Cloud Console
So richten Sie einen Inspektionsjob für eine BigQuery-Tabelle mit dem Schutz sensibler Daten ein:
Rufen Sie in der Google Cloud Console im Abschnitt zum Schutz sensibler Daten die Seite Job oder Job-Trigger erstellen auf.
Geben Sie die Informationen zum Job für den Schutz sensibler Daten ein und klicken Sie zum Ausführen der einzelnen Schritte auf Weiter:
Geben Sie für Schritt 1: Eingabedaten auswählen einen Namen für den Job im Feld Name ein. Wählen Sie unter Speicherort im Menü Speichertyp die Option BigQuery aus und geben Sie dann die Informationen für die zu überprüfende Tabelle ein. Der Bereich Probenahme ist so vorkonfiguriert, dass eine Stichprobenprüfung für Ihre Daten ausgeführt wird. Sie können die Felder Zeilen beschränken durch und Maximale Zeilenanzahl anpassen, um bei großen Datenmengen Ressourcen zu sparen. Weitere Informationen finden Sie unter Eingabedaten auswählen.
(Optional) In Schritt 2: Erkennung konfigurieren können Sie festlegen, nach welchen Datentypen (infoTypes) gesucht werden soll. Lassen Sie für diese Anleitung die Standard-infoTypes ausgewählt. Weitere Informationen finden Sie unter Erkennung konfigurieren.
Aktivieren Sie für Schritt 3: Aktionen hinzufügen die Option In Data Catalog speichern.
(Optional) Übernehmen Sie für Schritt 4: Zeitplan für diese Schritt-für-Schritt-Anleitung die Menüoption Keine, damit die Prüfung nur einmal ausgeführt wird. Weitere Informationen zum Planen wiederkehrender Inspektionsjobs finden Sie unter Planen.
Klicken Sie auf Erstellen. Der Job wird sofort ausgeführt.
DLP API
In diesem Abschnitt konfigurieren Sie einen Inspektionsjob für den Schutz sensibler Daten und führen ihn aus.
Der hier konfigurierte Inspektionsjob weist den Schutz sensibler Daten an, entweder die in Schritt 2 oben beschriebenen BigQuery-Beispieldaten oder Ihre eigenen BigQuery-Daten zu prüfen. In der von Ihnen angegebenen Jobkonfiguration weisen Sie den Schutz sensibler Daten außerdem an, die Inspektionsergebnisse in Data Catalog zu speichern.
Schritt 1: Projektkennung notieren
Öffnen Sie die Google Cloud Console.
Klicken Sie auf Auswählen.
Wählen Sie in der Drop-down-Liste Auswählen aus die Organisation aus, für die Sie Data Catalog aktiviert haben.
Kopieren Sie unter ID die Projekt-ID des Projekts, das die Daten enthält, die Sie prüfen möchten. Dies ist das Projekt, das im Schritt Speicher-Repositories festlegen weiter oben auf dieser Seite beschrieben wurde.
Klicken Sie unter Name auf das Projekt, um es auszuwählen.
Schritt 2: APIs Explorer öffnen und den Job konfigurieren
Rufen Sie APIs Explorer auf der Referenzseite für die Methode
dlpJobs.create
auf. Damit diese Anleitung verfügbar bleibt, klicken Sie mit der rechten Maustaste auf den folgenden Link und öffnen Sie ihn in einem neuen Tab oder Fenster:Geben Sie im Feld parent Folgendes ein, wobei project-id die Projekt-ID ist, die Sie zuvor im vorherigen Schritt notiert haben:
projects/project-id
Kopieren Sie als Nächstes den folgenden JSON-Code. Wählen Sie den Inhalt des Felds Anfragetext im APIs Explorer aus und fügen Sie den JSON-Code ein, um den Inhalt zu ersetzen. Ersetzen Sie die Platzhalter
project-id
,bigquery-dataset-name
undbigquery-table-name
jeweils durch die tatsächliche Projekt-ID sowie die Namen der BigQuery-Datasets und -Tabellen.{ "inspectJob": { "storageConfig": { "bigQueryOptions": { "tableReference": { "projectId": "project-id", "datasetId": "bigquery-dataset-name", "tableId": "bigquery-table-name" } } }, "inspectConfig": { "infoTypes": [ { "name": "EMAIL_ADDRESS" }, { "name": "PERSON_NAME" }, { "name": "US_SOCIAL_SECURITY_NUMBER" }, { "name": "PHONE_NUMBER" } ], "includeQuote": true, "minLikelihood": "UNLIKELY", "limits": { "maxFindingsPerRequest": 100 } }, "actions": [ { "publishFindingsToCloudDataCatalog": {} } ] } }
Weitere Informationen zu den verfügbaren Prüfungsoptionen finden Sie unter Speicher und Datenbanken auf sensible Daten prüfen. Eine vollständige Liste der Informationstypen, die vom Schutz sensibler Daten überprüft werden können, finden Sie in der Referenz zu infoTypes.
Schritt 3: Anfrage ausführen, um den Inspektionsjob zu starten
Nachdem Sie den Job mithilfe der vorherigen Schritte konfiguriert haben, klicken Sie auf Ausführen, um die Anfrage zu senden. Wenn die Anfrage erfolgreich ist, wird eine Antwort mit einem Erfolgscode und einem JSON-Objekt angezeigt, das den Status des Jobs für den Schutz sensibler Daten angibt, den Sie gerade erstellt haben.
Die Antwort auf Ihre Inspektionsanfrage enthält die Job-ID Ihres Inspektionsjobs als "name"
-Schlüssel und den aktuellen Status des Inspektionsjobs als "state"
-Schlüssel. Da Sie die Anfrage gerade gesendet haben, lautet der Jobstatus in diesem Moment "PENDING"
.
Status des Inspektionsjobs zum Schutz sensibler Daten prüfen
Nachdem Sie die Inspektionsanfrage gesendet haben, beginnt der Inspektionsjob sofort.
Google Cloud Console
So prüfen Sie den Status des Inspektionsjobs:
Öffnen Sie in der Google Cloud Console den Schutz sensibler Daten.
Klicken Sie auf den Tab Jobs und Job-Trigger und dann auf Alle Jobs.
Der Job, den Sie gerade ausgeführt haben, befindet sich wahrscheinlich ganz oben in der Liste. Prüfen Sie in der Spalte Status, ob der Status Fertig lautet.
Sie können auf die Job-ID des Jobs klicken, um die Ergebnisse aufzurufen. Auf jeden infoType-Detektor, der auf der Seite "Jobdetails" aufgelistet ist, folgt die Anzahl der Übereinstimmungen, die im Inhalt gefunden wurden.
DLP API
So prüfen Sie den Status des Inspektionsjobs:
Klicken Sie auf die folgende Schaltfläche, um APIs Explorer auf der Referenzseite für die Methode
dlpJobs.get
aufzurufen:Geben Sie im Feld Name den Namen des Jobs aus der JSON-Antwort auf die Inspektionsanfrage im folgenden Format ein:
projects/project-id/dlpJobs/job-id
Die Job-ID hat das Formati-1234567890123456789
.Zum Absenden der Anfrage klicken Sie auf Ausführen.
Wenn der Schlüssel "state"
des JSON-Antwortobjekts angibt, dass der Job "DONE"
ist, ist der Inspektionsjob abgeschlossen.
Scrollen Sie die Seite nach unten, um den Rest des JSON-Antwortcodes anzusehen. Unter "result"
> "infoTypeStats"
sollte jeder aufgeführte Informationstyp einen entsprechenden "count"
haben. Wenn nicht, prüfen Sie, ob Sie den JSON-Code richtig eingegeben haben und der Pfad oder Speicherort Ihrer Daten korrekt ist.
Nachdem der Inspektionsjob abgeschlossen ist, können Sie mit dem nächsten Abschnitt dieser Anleitung fortfahren, um Inspektionsergebnisse in Security Command Center anzusehen.
Ergebnisse der Prüfung für den Schutz sensibler Daten in Data Catalog ansehen
Da Sie den Schutz sensibler Daten angewiesen haben, die Ergebnisse der Inspektionsjobs an Data Catalog zu senden, können Sie sich jetzt die automatisch erstellten Tags und die Tag-Vorlage in der Data Catalog-UI ansehen:
- Rufen Sie in der Google Cloud Console die Seite „Data Catalog“ auf.
- Suchen Sie nach der Tabelle, die Sie geprüft haben.
- Klicken Sie auf die Ergebnisse, die Ihrer Tabelle entsprechen, um die Metadaten der Tabelle anzusehen.
Der folgende Screenshot zeigt die Data Catalog-Metadatenansicht einer Beispieltabelle:
Zusammenfassung der Prüfung
Die Ergebnisse des Schutzes sensibler Daten sind in der Zusammenfassung der von Ihnen geprüften Tabelle enthalten. Diese Zusammenfassung enthält die infoType-Gesamtzahl sowie Übersichtsdaten zum Inspektionsjob, die Datumsangaben und die ID der Jobressource enthalten.
Alle infoTypes
, die geprüft wurden, werden aufgelistet. In diesen Ergebnissen wird eine Anzahl größer null angezeigt.
Bereinigen
Führen Sie einen der folgenden Schritte aus, um zu vermeiden, dass Ihrem Google Cloud-Konto die in diesem Thema verwendeten Ressourcen in Rechnung gestellt werden, je nachdem, ob Sie Beispieldaten oder Ihre eigenen Daten verwendet haben:
- Beispieldaten: Löschen Sie das von Ihnen erstellte Projekt.
- Eigene Daten: Löschen Sie den von Ihnen erstellten Job zum Schutz sensibler Daten.
Projekt löschen
Am einfachsten vermeiden Sie unnötige Kosten, wenn Sie das durch Befolgen der Anweisungen in diesem Thema erstellte Projekt löschen.
So löschen Sie das Projekt:
- Rufen Sie in der Google Cloud Console die Seite „Projekte“ auf.
- Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie auf Delete Project (Projekt löschen).
- Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Beenden, um das Projekt zu löschen.
Wenn Sie Ihr Projekt mit dieser Methode löschen, werden auch der von Ihnen erstellte Job zum Schutz sensibler Daten und der von Ihnen erstellte Cloud Storage-Bucket gelöscht. Es ist nicht notwendig, die Anweisungen in den folgenden Abschnitten zu befolgen.
Job oder Job-Trigger für den Schutz sensibler Daten löschen
Wenn Sie Ihre eigenen Daten geprüft haben, löschen Sie den gerade erstellten Inspektionsjob oder Job-Trigger.
Google Cloud Console
Öffnen Sie in der Google Cloud Console den Schutz sensibler Daten.
Klicken Sie auf den Tab Jobs und Job-Trigger und dann auf den Tab Job-Trigger.
Klicken Sie in der Spalte Aktionen für den zu löschenden Job-Trigger auf das Dreipunktmenü
und dann auf Löschen.
Optional können Sie auch die Jobdetails für den ausgeführten Job löschen. Klicken Sie auf den Tab Alle Jobs. In der Spalte Aktionen für den zu löschenden Job klicken Sie auf das Dreipunktmenü
und dann auf Löschen.DLP API
Klicken Sie auf die folgende Schaltfläche, um APIs Explorer auf der Referenzseite für die Methode
dlpJobs.delete
aufzurufen:Geben Sie im Feld Name den Namen des Jobs aus der JSON-Antwort auf die Inspektionsanfrage ein. Dieser hat folgende Form:
projects/project-id/dlpJobs/job-id
Die Job-ID hat das Formati-1234567890123456789
.
Wenn Sie zusätzliche Inspektionsjobs erstellt haben oder sichergehen möchten, dass Sie den Job erfolgreich gelöscht haben, können Sie alle vorhandenen Jobs auflisten:
Klicken Sie auf die folgende Schaltfläche, um APIs Explorer auf der Referenzseite für die Methode
dlpJobs.list
aufzurufen:Geben Sie im Feld parent die Projekt-ID im folgenden Format ein, wobei project-id die Projekt-ID ist:
projects/project-id
Klicken Sie auf Execute.
Wenn in der Antwort keine Jobs aufgeführt sind, haben Sie alle Jobs gelöscht. Wenn Jobs in der Antwort aufgeführt sind, wiederholen Sie den oben beschriebenen Löschvorgang für diese Jobs.
Nächste Schritte
- Weitere Informationen zur Aktion
publishFindingsToCloudDataCatalog
finden Sie unter „Schutz sensibler Daten“. - Weitere Informationen zum Erstellen benutzerdefinierter Tags oder Tags auf Spaltenebene in Data Catalog basierend auf Ergebnissen für den Schutz sensibler Daten
- Speicher-Repositories auf sensible Daten mithilfe des Schutzes sensibler Daten prüfen
- Mehr zur Verwendung von Data Catalog