本頁面由 Cloud Translation API 翻譯而成。

使用資料安全防護機制管理

啟用 DSPM

如要在機構層級啟用 DSPM，請完成下列步驟：

如要取得啟用 DSPM 所需的權限，請要求管理員為您授予貴機構的下列 IAM 角色：
- 機構管理員 (roles/resourcemanager.organizationAdmin)
- 安全中心管理員 (roles/securitycenter.admin)
如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。
使用下列任一方法啟用 DSPM：
- 如果貴機構尚未啟用 Security Command Center，請啟用 Security Command Center Enterprise。
- 如果您已啟用 Security Command Center 的 Enterprise 服務層級，請使用「啟用 DSPM」頁面新增 DSPM。
  前往「啟用 DSPM」
啟用探索功能，找出要透過 DSPM 保護的資源。

啟用 DSPM 時，系統也會啟用下列服務：

法規遵循管理員建立、套用及管理資料安全架構和雲端控制項。
Sensitive Data Protection 使用資料私密性信號進行預設資料風險評估。
Event Threat Detection (Security Command Center 的一部分) 位於機構層級，可使用資料存取控管雲端控制項和資料流程控管雲端控制項
AI Protection，協助保護 AI 工作負載的生命週期。

啟用 DSPM 時，系統會建立 DSPM 服務代理 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)。

如要瞭解 DSPM Identity and Access Management 角色，請參閱機構層級啟用的 Identity and Access Management。

完成下列動作，即可使用資訊主頁分析資料安全性狀態。

如有需要，請複製資料安全與隱私權基本架構，並根據資料安全和法規遵循規定進行自訂。如需操作說明，請參閱「套用架構」。

如有需要，請在自訂架構中新增進階資料安全雲端控制項。這些控制項需要額外設定。如需部署雲端控管機制和架構的操作說明，請參閱「套用架構」。

請考量下列事項：

請按照下表說明，完成每項規則的相關工作。

規則	額外設定
資料存取控管雲端控制項	啟用 Cloud Storage 和 Vertex AI 的資料存取稽核記錄 (適用於您的環境)。將資料存取權限類型設為 `DATA_READ`。視您套用資料存取權管理雲端控管機制的層級而定，在機構或專案層級啟用資料存取記錄。確認只有授權主體可豁免於稽核記錄。稽核記錄豁免的主體也會豁免 DSPM。使用下列其中一種格式，新增一或多個允許的主體 (最多 200 個主體)：使用者：`principal://goog/subject/USER_EMAIL_ADDRESS` 範例：`principal://goog/subject/alex@example.com` 群組：`principalSet://goog/group/GROUP_EMAIL_ADDRESS` 範例：`principalSet://goog/group/my-group@example.com`
資料流程管理雲端控制項	啟用 Cloud Storage 和 Vertex AI 的資料存取稽核記錄(適用於您的環境)。將資料存取權限類型設為 `DATA_READ`。視您套用資料存取權管理雲端控管機制的層級而定，在機構或專案層級啟用資料存取記錄。確認只有授權主體可豁免於稽核記錄。豁免稽核記錄的主體也會豁免 DSPM。使用 Unicode 通用區域資料庫 (CLDR) 中定義的國家/地區代碼，指定允許的國家/地區。
資料保護和金鑰管理雲端控制	在 BigQuery 和 Vertex AI 中啟用 CMEK。
資料刪除雲端控制項	設定保留期限。舉例來說，如要將保留期限設為 90 天 (以秒為單位)，請將保留期限設為 `777600`。