Questa pagina descrive come aggiungere automaticamente gli aspetti di Dataplex Universal Catalog ai tuoi dati dopo che Sensitive Data Protection ha profilato le tue risorse. Questa pagina fornisce anche query di esempio che puoi utilizzare per trovare dati nella tua organizzazione e nei tuoi progetti con valori di aspetto specifici.
Questa funzionalità è utile se vuoi arricchire i metadati in Dataplex Universal Catalog con approfondimenti raccolti dai profili dei dati di Sensitive Data Protection. Gli aspetti generati includono i seguenti approfondimenti:
- Livello di sensibilità calcolato della tabella o del set di dati
- Livello di rischio dei dati calcolato della tabella o del set di dati
- Tipi di informazioni (infoTypes) rilevati nella tabella o nel set di dati
Gli approfondimenti dei profili di dati di Sensitive Data Protection possono aiutarti a utilizzare Dataplex Universal Catalog per scoprire i dati sensibili e ad alto rischio nella tua organizzazione. Utilizza questi approfondimenti per prendere decisioni informate su come gestire e governare i tuoi dati.
Informazioni sui profili di dati
Puoi configurare Sensitive Data Protection per generare automaticamente profili sui dati in un'organizzazione, una cartella o un progetto. I profili di dati contengono metriche e metadati sui dati e ti aiutano a determinare dove si trovano i dati sensibili e ad alto rischio. Sensitive Data Protection riporta queste metriche a vari livelli di dettaglio.
Puoi inviare i profili dei dati ad altri servizi Google Cloud come Dataplex Universal Catalog, Pub/Sub, Security Command Center e Google Security Operations per arricchire i flussi di lavoro di governance, avvisi e sicurezza dei dati.
Informazioni su Dataplex Universal Catalog
Dataplex Universal Catalog fornisce un inventario unificato delle risorse Google Cloud .
Il Catalogo universale Dataplex ti consente di utilizzare gli aspetti per aggiungere metadati tecnici e aziendali ai tuoi dati per acquisire il contesto e le conoscenze sulle tue risorse. Puoi quindi cercare e scoprire i dati in tutta l'organizzazione e attivare la governance dei dati per i tuoi asset di dati. Per ulteriori informazioni, vedi Aspetti.
Risorse supportate
Sensitive Data Protection può collegare automaticamente gli aspetti alle voci di Dataplex Universal Catalog per le seguenti risorse:
- Tabelle BigQuery
Tabelle Cloud SQL
Set di dati Vertex AI creati dalle tabelle BigQuery
Dataplex Universal Catalog non importa i bucket Cloud Storage, pertanto questa funzionalità non è disponibile quando profili i dati di Cloud Storage.
Come funziona
Il flusso di lavoro di alto livello per la creazione automatica di aspetti del Catalogo universale Dataplex basati sui profili dei dati è il seguente:
Crea o modifica una configurazione di scansione per un tipo di risorsa supportato.
Nel passaggio Aggiungi azioni, assicurati che l'azione Invia a Dataplex Catalog come aspetti sia attivata.
Se stai creando una configurazione di scansione, questa azione è abilitata per impostazione predefinita.
Se stai modificando una configurazione dell'analisi, attiva questa azione.
Sensitive Data Protection aggiunge o aggiorna l'aspetto
Sensitive Data Protection profile
della voce di Dataplex Universal Catalog per ogni risorsa
supportata di cui esegui la profilazione. Puoi quindi cercare
in Dataplex Universal Catalog tutti i dati della tua organizzazione o del tuo progetto
con valori di aspetto specifici.
Quando abiliti l'azione Invia a Dataplex Catalog come aspetti, Sensitive Data Protection la applica solo ai profili nuovi e aggiornati. I profili esistenti che non vengono aggiornati non vengono inviati a Dataplex Universal Catalog.
Campi di primo livello
L'aspetto risultante per una tabella profilata può avere i seguenti campi di primo livello:
Nome visualizzato | Valore di esempio | Descrizione |
---|---|---|
Sensitivity |
MODERATE |
Il livello di sensibilità calcolato della tabella |
Risk |
MODERATE |
Il livello di rischio dei dati calcolato della tabella |
InfoTypes |
|
Un elenco di tutti gli infoType trovati nella tabella, inclusi gli infoType previsti e gli altri infoType. Questo campo viene incluso se nella tabella è stato rilevato almeno un infoType. |
Column InfoTypes |
|
Un elenco di tutti gli infoType previsti trovati in tutte le colonne della tabella. Questo campo viene incluso se nella tabella è stato rilevato almeno un infoType previsto. |
Project Profile |
Consulta Profilo progetto e Profilo organizzazione in questa pagina. | Incluso se la risorsa è stata profilata tramite una configurazione di scansione a livello di progetto. |
Organization Profile |
Consulta Profilo progetto e Profilo organizzazione in questa pagina. | Inclusa se la risorsa è stata profilata tramite una configurazione di scansione a livello di organizzazione o di cartella. |
Se la risorsa è stata profilata sia a livello di progetto sia a livello di organizzazione o cartella, Sensitive Data Protection aggrega i valori di entrambi i profili. L'aspetto fornisce un'unione degli infoType rilevati e utilizza le valutazioni di sensibilità e rischio dei dati più elevate di entrambi i profili.
Ad esempio, supponiamo che il profilo a livello di progetto valuti la sensibilità della risorsa come MODERATE
e che il profilo a livello di organizzazione valuti la sensibilità come LOW
. In questo caso, il valore nel campo Sensitivity
di primo livello dell'aspetto è MODERATE
.
Campi del profilo del progetto e del profilo dell'organizzazione
L'aspetto Sensitive Data Protection profile
risultante include uno o entrambi i seguenti campi di primo livello, a seconda del livello a cui è stato profilato l'asset:
Project Profile
- Incluso nell'aspetto se la risorsa è stata profilata tramite una configurazione di scansione a livello di progetto
Organization Profile
- Incluso nell'aspetto se la risorsa è stata profilata tramite una configurazione di scansione a livello di organizzazione o cartella
Se la risorsa è stata profilata sia a livello di progetto sia a livello di organizzazione o cartella, l'aspetto risultante ha sia i campi Project Profile
sia Organization Profile
.
Ogni campo Project Profile
o Organization Profile
contiene campi Sensitivity
e Risk
nidificati con i valori elencati nel profilo dei dati. Se il profilo dei dati contiene infoType previsti e altri infoType elencati,
questi sono disponibili anche come campi Column InfoTypes
e InfoTypes
nidificati. Inoltre, ogni campo Project Profile
o Organization Profile
contiene i seguenti campi nidificati:
Profile
Il nome completo della risorsa del profilo dei dati. Esempi:
- Profilo a livello di progetto:
projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
- Profilo a livello di organizzazione o cartella:
organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
- Profilo a livello di progetto:
Profile Link
Un link al profilo nella console Google Cloud . Esempi:
- Profilo a livello di progetto:
https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
- Profilo a livello di organizzazione o cartella:
https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
- Profilo a livello di progetto:
Abilitare l'API Dataplex
L'API Dataplex deve essere abilitata in ogni progetto che contiene risorse a cui vuoi aggiungere aspetti. Questa sezione descrive come abilitare l'API Dataplex in un singolo progetto o in tutti i progetti di un'organizzazione o una cartella.
Abilitare l'API Dataplex in un singolo progetto
Seleziona il progetto in cui vuoi abilitare l'API Dataplex.
-
Enable the Dataplex API.
Abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella
Questa sezione fornisce uno script che cerca tutti i progetti in un'organizzazione o in una cartella e abilita l'API Dataplex in ciascuno di questi progetti.
Per ottenere le autorizzazioni necessarie per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Visualizzatore di asset cloud (
roles/cloudasset.viewer
) sull'organizzazione o sulla cartella -
Utente DLP (
roles/dlp.user
) su ogni progetto in cui vuoi abilitare l'API Dataplex
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per attivare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella sono necessarie le seguenti autorizzazioni:
-
Per cercare tutti i progetti in un'organizzazione o in una cartella:
cloudasset.assets.searchAllResources
sull'organizzazione o sulla cartella -
Per abilitare l'API Dataplex:
serviceusage.services.use
in ogni progetto in cui vuoi abilitare l'API Dataplex
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella, segui questi passaggi:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Esegui questo script:
#!/bin/bash RESOURCE_ID="RESOURCE_ID" gcloud asset search-all-resources \ --scope="RESOURCE_TYPE/$RESOURCE_ID" \ --asset-types="cloudresourcemanager.googleapis.com/Project" \ --format="value(name)" | while read project_name; do project_id=$(echo "$project_name" | sed 's|.*/||') gcloud services enable "dataplex.googleapis.com" --project="$project_id" done
Sostituisci quanto segue:
RESOURCE_ID
: il numero dell'organizzazione o della cartella della risorsa che contiene i progettiRESOURCE_TYPE
: il tipo di risorsa che contiene i progetti:organizations
ofolders
-
Visualizzatore del catalogo Dataplex (
roles/dataplex.catalogViewer
) -
Visualizzatore dati BigQuery (
roles/bigquery.dataViewer
) -
Visualizzatore Vertex AI (
roles/aiplatform.viewer
) -
Visualizza le voci di Dataplex Universal Catalog:
-
dataplex.entries.list
-
dataplex.entries.get
-
-
Visualizza i set di dati e le tabelle BigQuery:
-
bigquery.datasets.get
-
bigquery.tables.get
-
-
Visualizza i set di dati Vertex AI:
aiplatform.datasets.get
Nella console Google Cloud , vai alla pagina Cerca di Dataplex Universal Catalog.
Seleziona la tua organizzazione o il tuo progetto.
Per Scegli la piattaforma di ricerca, seleziona Dataplex Universal Catalog come modalità di ricerca.
Nel campo Cerca, inserisci quanto segue:
name:TABLE_ID
Sostituisci
TABLE_ID
con l'ID della tabella di cui è stato eseguito il profiling.Nell'elenco visualizzato, fai clic sul nome della tabella. Vengono visualizzati i dettagli della tabella BigQuery. Gli eventuali aspetti
Sensitive Data Protection profile
associati vengono visualizzati nella sezione Tag e aspetti facoltativi.
Ruoli e autorizzazioni per la visualizzazione degli aspetti
Per ottenere le autorizzazioni necessarie per cercare gli aspetti associati alle tue risorse, chiedi all'amministratore di concederti i seguenti ruoli IAM per le risorse:
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per cercare gli aspetti associati alle tue risorse. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per cercare gli aspetti associati alle tue risorse sono necessarie le seguenti autorizzazioni:
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Per ulteriori informazioni sulle autorizzazioni richieste per utilizzare Dataplex Universal Catalog, consulta Autorizzazioni IAM per Dataplex Universal Catalog.
Trovare l'aspetto generato per un determinato profilo di dati della tabella
Per saperne di più su come cercare le risorse, vedi Cercare risorse in Dataplex Universal Catalog.
Esempi di query di ricerca
Questa sezione fornisce query di ricerca di esempio che puoi utilizzare in Dataplex Universal Catalog per trovare dati nella tua organizzazione o nel tuo progetto con valori di aspetto specifici.
Puoi trovare solo i dati a cui hai accesso. L'accesso ai dati è controllato tramite le autorizzazioni IAM. Per saperne di più, vedi Ruoli e autorizzazioni per la visualizzazione degli aspetti in questa pagina.
Puoi inserire queste query di esempio nel campo Cerca della pagina Cerca di Dataplex Universal Catalog.
Per informazioni su come formare le query, consulta Sintassi di ricerca per Dataplex Universal Catalog.
Trova tutte le risorse che hanno l'aspetto del profilo Sensitive Data Protection
aspect:sensitive-data-protection-profile
Trovare tutte le risorse con un determinato punteggio di sensibilità
aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE
Sostituisci SENSITIVITY_SCORE
con HIGH
, MODERATE
,
UNKNOWN
o LOW
.
Per saperne di più, vedi Livelli di rischio dei dati e sensibilità.
Trova tutte le risorse con un determinato punteggio di rischio
aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL
Sostituisci DATA_RISK_LEVEL
con HIGH
, MODERATE
,
UNKNOWN
o LOW
.
Per saperne di più, vedi Livelli di rischio dei dati e sensibilità.
Trova tutte le risorse che hanno un profilo a livello di progetto
aspect:sensitive-data-protection-profile.projectProfile
Trovare tutte le risorse che hanno un profilo a livello di organizzazione
aspect:sensitive-data-protection-profile.organizationProfile