Questo documento descrive come ispezionare una tabella BigQuery per rilevare dati sensibili e inviare i risultati dell'ispezione a Dataplex Universal Catalog. Questa azione aggiunge automaticamente un aspetto alla voce del Catalogo universale Dataplex associata alla tua tabella BigQuery.
Questo documento fornisce anche query di esempio che puoi utilizzare per trovare dati nella tua organizzazione e nei tuoi progetti con valori di aspetti specifici.
Questa funzionalità è utile se vuoi arricchire i metadati in Dataplex Universal Catalog con le classificazioni dei dati sensibili dai job di ispezione di Sensitive Data Protection.
Gli aspetti generati includono i seguenti dettagli:
- Il nome del job di ispezione
- I tipi di informazioni (infoTypes) che sono stati rilevati nella tabella
Informazioni su Dataplex Universal Catalog
Dataplex Universal Catalog fornisce un inventario unificato delle risorse Google Cloud .
Dataplex Universal Catalog consente di utilizzare gli aspetti per aggiungere metadati aziendali e tecnici ai dati per acquisire il contesto e le conoscenze sulle risorse. Puoi quindi cercare e scoprire i dati in tutta l'organizzazione e attivare la governance dei dati per i tuoi asset di dati. Per ulteriori informazioni, vedi Aspetti.
Come funziona
Per creare automaticamente aspetti di Dataplex Universal Catalog in base ai risultati del job di ispezione, segui questo flusso di lavoro di alto livello:
Crea o modifica un job di ispezione che esamina una tabella BigQuery. Per istruzioni, vedi Esaminare una tabella BigQuery.
Nel passaggio Aggiungi azioni, attiva Pubblica in Dataplex Universal Catalog.
Sensitive Data Protection aggiunge o aggiorna l'aspetto
Sensitive Data Protection job result della voce Dataplex Universal Catalog associata alla
tabella BigQuery. Puoi quindi cercare
in Dataplex Universal Catalog tutti i dati della tua organizzazione o del tuo progetto
con valori di aspetto specifici. Per esempi di query, consulta la sezione Esempi di query di ricerca di questo documento.
L'aspetto Dataplex Universal Catalog risultante viene archiviato nello stesso progetto e nella stessa regione della tabella BigQuery.
Campi degli aspetti
L'aspetto Sensitive Data Protection job result ha i seguenti campi:
- Nome job
- Il nome completo della risorsa del lavoro di ispezione, ad esempio
projects/example-project/locations/us/dlpJobs/i-8992079400000000000. - Conteggi InfoType
- Nomi degli infoType cercati dal job di ispezione, come specificato nella configurazione di ispezione, e conteggio dei risultati per ogni infoType.
Un infoType senza risultati ha un conteggio di
0. - Ora di fine
- La data e l'ora in cui è terminato il job di ispezione.
- Is Full Scan
- Indica se il job di ispezione ha analizzato tutte le righe della tabella. Se il campionamento è
attivato nel job di ispezione, ad esempio, il valore di questo campo è
False. - Include risultati
- Indica se il job di ispezione ha rilevato uno degli infoType per cui è stata eseguita la scansione.
Abilitare l'API Dataplex
L'API Dataplex deve essere abilitata in ogni progetto che contiene i dati per cui vuoi aggiungere gli aspetti. Questa sezione descrive come abilitare l'API Dataplex in un singolo progetto o in tutti i progetti di un'organizzazione o una cartella.
Abilitare l'API Dataplex in un singolo progetto
Seleziona il progetto in cui vuoi abilitare l'API Dataplex.
-
Enable the Dataplex API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
Abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella
Questa sezione fornisce uno script che cerca tutti i progetti in un'organizzazione o in una cartella e abilita l'API Dataplex in ciascuno di questi progetti.
Per ottenere le autorizzazioni necessarie per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Visualizzatore di asset cloud (
roles/cloudasset.viewer) sull'organizzazione o sulla cartella -
Utente DLP (
roles/dlp.user) su ogni progetto in cui vuoi abilitare l'API Dataplex
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per attivare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella sono necessarie le seguenti autorizzazioni:
-
Per cercare tutti i progetti in un'organizzazione o in una cartella:
cloudasset.assets.searchAllResourcessull'organizzazione o sulla cartella -
Per abilitare l'API Dataplex:
serviceusage.services.usein ogni progetto in cui vuoi abilitare l'API Dataplex
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella, segui questi passaggi:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Esegui questo script:
#!/bin/bash RESOURCE_ID="RESOURCE_ID" gcloud asset search-all-resources \ --scope="RESOURCE_TYPE/$RESOURCE_ID" \ --asset-types="cloudresourcemanager.googleapis.com/Project" \ --format="value(name)" | while read project_name; do project_id=$(echo "$project_name" | sed 's|.*/||') gcloud services enable "dataplex.googleapis.com" --project="$project_id" doneSostituisci quanto segue:
RESOURCE_ID: il numero dell'organizzazione o della cartella della risorsa che contiene i progettiRESOURCE_TYPE: il tipo di risorsa che contiene i progetti:organizationsofolders
-
Visualizzatore del catalogo Dataplex (
roles/dataplex.catalogViewer) -
Visualizzatore dati BigQuery (
roles/bigquery.dataViewer) -
Visualizza le voci del Catalogo universale Dataplex:
-
dataplex.entries.list -
dataplex.entries.get
-
-
Visualizza i set di dati e le tabelle BigQuery:
-
bigquery.datasets.get -
bigquery.tables.get
-
-
Nella console Google Cloud , vai alla pagina Crea job o trigger di job.
- Seleziona il progetto.
- Inserisci i dettagli richiesti del job di ispezione e della tabella BigQuery che vuoi ispezionare. Per le istruzioni, vedi Esaminare una tabella BigQuery. Per un elenco completo dei tipi di informazioni che Sensitive Data Protection può ispezionare, consulta la guida di riferimento per i rilevatori di infoType.
- Per Aggiungi azioni, attiva Pubblica in Dataplex Universal Catalog.
- Fai clic su Crea. Il job viene eseguito immediatamente.
-
PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche -
LOCATION: la regione o la multi-regione in cui vuoi elaborare la richiesta, ad esempioeurope-west1ous. Per le località disponibili, consulta Località di Sensitive Data Protection. -
BIGQUERY_DATASET_NAME: nome del set di dati BigQuery che contiene la tabella da esaminare -
BIGQUERY_TABLE_NAME: nome della tabella BigQuery da ispezionare
Ruoli e autorizzazioni per la visualizzazione degli aspetti
Per ottenere le autorizzazioni necessarie per cercare gli aspetti associati alla tabella BigQuery, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tabella:
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per cercare gli aspetti associati alla tua tabella BigQuery. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per cercare gli aspetti associati alla tua tabella BigQuery, sono necessarie le seguenti autorizzazioni:
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Per saperne di più sulle autorizzazioni richieste per utilizzare Dataplex Universal Catalog, consulta Autorizzazioni IAM di Dataplex Universal Catalog.
Configura ed esegui un job di ispezione di Sensitive Data Protection
Puoi configurare ed eseguire un job di ispezione Sensitive Data Protection utilizzando la console Google Cloud o l'API DLP.
Console
REST
L'esempio seguente invia una richiesta
projects.locations.dlpJobs.create
per ispezionare una tabella BigQuery e inviare i risultati a
Dataplex Universal Catalog.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
Metodo HTTP e URL:
POST https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/dlpJobs
Corpo JSON della richiesta:
{
"inspectJob":
{
"storageConfig":
{
"bigQueryOptions":
{
"tableReference":
{
"projectId": "PROJECT_ID",
"datasetId": "BIGQUERY_DATASET_NAME",
"tableId": "BIGQUERY_TABLE_NAME"
}
}
},
"inspectConfig":
{
"infoTypes":
[
{
"name": "EMAIL_ADDRESS"
},
{
"name": "PERSON_NAME"
},
{
"name": "US_SOCIAL_SECURITY_NUMBER"
},
{
"name": "PHONE_NUMBER"
}
],
"includeQuote": true,
"minLikelihood": "UNLIKELY",
"limits":
{
"maxFindingsPerRequest": 100
}
},
"actions":
[
{
"publishFindingsToDataplexCatalog": {}
}
]
}
}
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/PROJECT_ID/locations/LOCATION/dlpJobs/JOB_ID",
"type": "INSPECT_JOB",
"state": "PENDING",
"inspectDetails": {
"requestedOptions": {
"snapshotInspectTemplate": {},
"jobConfig": {
"storageConfig": {
"bigQueryOptions": {
"tableReference": {
"projectId": "PROJECT_ID",
"datasetId": "BIGQUERY_DATASET_NAME",
"tableId": "BIGQUERY_TABLE_NAME"
}
}
},
"inspectConfig": {
"infoTypes": [
{
"name": "EMAIL_ADDRESS"
},
{
"name": "PERSON_NAME"
},
{
"name": "US_SOCIAL_SECURITY_NUMBER"
},
{
"name": "PHONE_NUMBER"
}
],
"minLikelihood": "UNLIKELY",
"limits": {
"maxFindingsPerRequest": 100
},
"includeQuote": true
},
"actions": [
{
"publishFindingsToDataplexCatalog": {}
}
]
}
},
"result": {}
},
"createTime": "2025-09-09T00:29:55.951374Z",
"lastModified": "2025-09-09T00:29:58.022967Z"
}
Per informazioni su come ottenere i risultati del job di ispezione utilizzando l'API DLP, consulta Ottenere un job.
Esempi di query di ricerca
Questa sezione fornisce query di ricerca di esempio che puoi utilizzare in Dataplex Universal Catalog per trovare dati nella tua organizzazione o nel tuo progetto con valori di aspetto specifici.
Puoi trovare solo i dati a cui hai accesso. L'accesso ai dati è controllato tramite le autorizzazioni IAM. Per saperne di più, consulta la sezione Ruoli e autorizzazioni per la visualizzazione degli aspetti in questo documento.
Puoi inserire queste query di esempio nel campo Cerca della pagina Cerca di Dataplex Universal Catalog.
Per informazioni su come formare le query, consulta Sintassi di ricerca per Dataplex Universal Catalog.
Trova le voci di tutte le tabelle che hanno l'aspetto del risultato del job di Sensitive Data Protection
aspect:sensitive-data-protection-job-result
Trova le voci delle tabelle esaminate che hanno risultati
aspect:sensitive-data-protection-job-result.hasFindings=True
Trova le voci delle tabelle ispezionate che non hanno risultati
aspect:sensitive-data-protection-job-result.hasFindings=False
Trova le voci delle tabelle che sono state ispezionate completamente
La seguente query restituisce le voci delle tabelle che Sensitive Data Protection ha ispezionato riga per riga.
aspect:sensitive-data-protection-job-result.isFullScan=True
Trovare le voci delle tabelle che non sono state ispezionate completamente
La seguente query restituisce le voci delle tabelle che Sensitive Data Protection ha ispezionato tramite campionamento.
aspect:sensitive-data-protection-job-result.isFullScan=False