Aggiungi aspetti del Catalogo universale Dataplex in base agli approfondimenti dei profili dei dati

Questa pagina descrive come aggiungere automaticamente gli aspetti di Dataplex Universal Catalog ai tuoi dati dopo che Sensitive Data Protection ha profilato le tue risorse. Questa pagina fornisce anche query di esempio che puoi utilizzare per trovare dati nella tua organizzazione e nei tuoi progetti con valori di aspetto specifici.

Questa funzionalità è utile se vuoi arricchire i metadati in Dataplex Universal Catalog con approfondimenti raccolti dai profili dei dati di Sensitive Data Protection. Gli aspetti generati includono i seguenti approfondimenti:

  • Livello di sensibilità calcolato della tabella o del set di dati
  • Livello di rischio dei dati calcolato della tabella o del set di dati
  • Tipi di informazioni (infoTypes) rilevati nella tabella o nel set di dati

Gli approfondimenti dei profili di dati di Sensitive Data Protection possono aiutarti a utilizzare Dataplex Universal Catalog per scoprire i dati sensibili e ad alto rischio nella tua organizzazione. Utilizza questi approfondimenti per prendere decisioni informate su come gestire e governare i tuoi dati.

Informazioni sui profili di dati

Puoi configurare Sensitive Data Protection per generare automaticamente profili sui dati in un'organizzazione, una cartella o un progetto. I profili di dati contengono metriche e metadati sui dati e ti aiutano a determinare dove si trovano i dati sensibili e ad alto rischio. Sensitive Data Protection riporta queste metriche a vari livelli di dettaglio.

Puoi inviare i profili dei dati ad altri servizi Google Cloud come Dataplex Universal Catalog, Pub/Sub, Security Command Center e Google Security Operations per arricchire i flussi di lavoro di governance, avvisi e sicurezza dei dati.

Informazioni su Dataplex Universal Catalog

Dataplex Universal Catalog fornisce un inventario unificato delle risorse Google Cloud .

Il Catalogo universale Dataplex ti consente di utilizzare gli aspetti per aggiungere metadati tecnici e aziendali ai tuoi dati per acquisire il contesto e le conoscenze sulle tue risorse. Puoi quindi cercare e scoprire i dati in tutta l'organizzazione e attivare la governance dei dati per i tuoi asset di dati. Per ulteriori informazioni, vedi Aspetti.

Risorse supportate

Sensitive Data Protection può collegare automaticamente gli aspetti alle voci di Dataplex Universal Catalog per le seguenti risorse:

  • Tabelle BigQuery
  • Tabelle Cloud SQL

  • Set di dati Vertex AI creati dalle tabelle BigQuery

Dataplex Universal Catalog non importa i bucket Cloud Storage, pertanto questa funzionalità non è disponibile quando profili i dati di Cloud Storage.

Come funziona

Il flusso di lavoro di alto livello per la creazione automatica di aspetti del Catalogo universale Dataplex basati sui profili dei dati è il seguente:

  1. Crea o modifica una configurazione di scansione per un tipo di risorsa supportato.

  2. Nel passaggio Aggiungi azioni, assicurati che l'azione Invia a Dataplex Catalog come aspetti sia attivata.

    Se stai creando una configurazione di scansione, questa azione è abilitata per impostazione predefinita.

    Se stai modificando una configurazione dell'analisi, attiva questa azione.

Sensitive Data Protection aggiunge o aggiorna l'aspetto Sensitive Data Protection profile della voce di Dataplex Universal Catalog per ogni risorsa supportata di cui esegui la profilazione. Puoi quindi cercare in Dataplex Universal Catalog tutti i dati della tua organizzazione o del tuo progetto con valori di aspetto specifici.

Quando abiliti l'azione Invia a Dataplex Catalog come aspetti, Sensitive Data Protection la applica solo ai profili nuovi e aggiornati. I profili esistenti che non vengono aggiornati non vengono inviati a Dataplex Universal Catalog.

Campi di primo livello

L'aspetto risultante per una tabella profilata può avere i seguenti campi di primo livello:

Nome visualizzato Valore di esempio Descrizione
Sensitivity MODERATE Il livello di sensibilità calcolato della tabella
Risk MODERATE Il livello di rischio dei dati calcolato della tabella
InfoTypes
  • infoType: CREDIT_CARD_NUMBER
  • infoType: PHONE_NUMBER
  • infoType: US_SOCIAL_SECURITY_NUMBER
Un elenco di tutti gli infoType trovati nella tabella, inclusi gli infoType previsti e gli altri infoType. Questo campo viene incluso se nella tabella è stato rilevato almeno un infoType.
Column InfoTypes
  • infoType: CREDIT_CARD_NUMBER
  • infoType: PHONE_NUMBER
Un elenco di tutti gli infoType previsti trovati in tutte le colonne della tabella. Questo campo viene incluso se nella tabella è stato rilevato almeno un infoType previsto.
Project Profile Consulta Profilo progetto e Profilo organizzazione in questa pagina. Incluso se la risorsa è stata profilata tramite una configurazione di scansione a livello di progetto.
Organization Profile Consulta Profilo progetto e Profilo organizzazione in questa pagina. Inclusa se la risorsa è stata profilata tramite una configurazione di scansione a livello di organizzazione o di cartella.

Se la risorsa è stata profilata sia a livello di progetto sia a livello di organizzazione o cartella, Sensitive Data Protection aggrega i valori di entrambi i profili. L'aspetto fornisce un'unione degli infoType rilevati e utilizza le valutazioni di sensibilità e rischio dei dati più elevate di entrambi i profili.

Ad esempio, supponiamo che il profilo a livello di progetto valuti la sensibilità della risorsa come MODERATE e che il profilo a livello di organizzazione valuti la sensibilità come LOW. In questo caso, il valore nel campo Sensitivity di primo livello dell'aspetto è MODERATE.

Campi del profilo del progetto e del profilo dell'organizzazione

L'aspetto Sensitive Data Protection profile risultante include uno o entrambi i seguenti campi di primo livello, a seconda del livello a cui è stato profilato l'asset:

Project Profile
Incluso nell'aspetto se la risorsa è stata profilata tramite una configurazione di scansione a livello di progetto
Organization Profile
Incluso nell'aspetto se la risorsa è stata profilata tramite una configurazione di scansione a livello di organizzazione o cartella

Se la risorsa è stata profilata sia a livello di progetto sia a livello di organizzazione o cartella, l'aspetto risultante ha sia i campi Project Profile sia Organization Profile.

Ogni campo Project Profile o Organization Profile contiene campi Sensitivity e Risk nidificati con i valori elencati nel profilo dei dati. Se il profilo dei dati contiene infoType previsti e altri infoType elencati, questi sono disponibili anche come campi Column InfoTypes e InfoTypes nidificati. Inoltre, ogni campo Project Profile o Organization Profile contiene i seguenti campi nidificati:

Profile

Il nome completo della risorsa del profilo dei dati. Esempi:

  • Profilo a livello di progetto: projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
  • Profilo a livello di organizzazione o cartella: organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
Profile Link

Un link al profilo nella console Google Cloud . Esempi:

  • Profilo a livello di progetto: https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
  • Profilo a livello di organizzazione o cartella: https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Abilitare l'API Dataplex

L'API Dataplex deve essere abilitata in ogni progetto che contiene risorse a cui vuoi aggiungere aspetti. Questa sezione descrive come abilitare l'API Dataplex in un singolo progetto o in tutti i progetti di un'organizzazione o una cartella.

Abilitare l'API Dataplex in un singolo progetto

  1. Seleziona il progetto in cui vuoi abilitare l'API Dataplex.

    Vai al selettore dei progetti

  2. Enable the Dataplex API.

    Enable the API

Abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella

Questa sezione fornisce uno script che cerca tutti i progetti in un'organizzazione o in una cartella e abilita l'API Dataplex in ciascuno di questi progetti.

Per ottenere le autorizzazioni necessarie per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per attivare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella sono necessarie le seguenti autorizzazioni:

  • Per cercare tutti i progetti in un'organizzazione o in una cartella: cloudasset.assets.searchAllResources sull'organizzazione o sulla cartella
  • Per abilitare l'API Dataplex: serviceusage.services.use in ogni progetto in cui vuoi abilitare l'API Dataplex

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o una cartella, segui questi passaggi:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Esegui questo script:

    #!/bin/bash
    
    RESOURCE_ID="RESOURCE_ID"
    
    gcloud asset search-all-resources \
        --scope="RESOURCE_TYPE/$RESOURCE_ID" \
        --asset-types="cloudresourcemanager.googleapis.com/Project" \
        --format="value(name)" |
        while read project_name; do
          project_id=$(echo "$project_name" | sed 's|.*/||')
          gcloud services enable "dataplex.googleapis.com" --project="$project_id"
        done
    

    Sostituisci quanto segue:

    • RESOURCE_ID: il numero dell'organizzazione o della cartella della risorsa che contiene i progetti
    • RESOURCE_TYPE: il tipo di risorsa che contiene i progetti: organizations o folders
  3. Ruoli e autorizzazioni per la visualizzazione degli aspetti

    Per ottenere le autorizzazioni necessarie per cercare gli aspetti associati alle tue risorse, chiedi all'amministratore di concederti i seguenti ruoli IAM per le risorse:

    Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Questi ruoli predefiniti contengono le autorizzazioni necessarie per cercare gli aspetti associati alle tue risorse. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

    Autorizzazioni obbligatorie

    Per cercare gli aspetti associati alle tue risorse sono necessarie le seguenti autorizzazioni:

    • Visualizza le voci di Dataplex Universal Catalog:
      • dataplex.entries.list
      • dataplex.entries.get
    • Visualizza i set di dati e le tabelle BigQuery:
      • bigquery.datasets.get
      • bigquery.tables.get
    • Visualizza i set di dati Vertex AI: aiplatform.datasets.get

    Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

    Per ulteriori informazioni sulle autorizzazioni richieste per utilizzare Dataplex Universal Catalog, consulta Autorizzazioni IAM per Dataplex Universal Catalog.

    Trovare l'aspetto generato per un determinato profilo di dati della tabella

    1. Nella console Google Cloud , vai alla pagina Cerca di Dataplex Universal Catalog.

      Vai a Cerca

    2. Seleziona la tua organizzazione o il tuo progetto.

    3. Per Scegli la piattaforma di ricerca, seleziona Dataplex Universal Catalog come modalità di ricerca.

    4. Nel campo Cerca, inserisci quanto segue:

      name:TABLE_ID
      

      Sostituisci TABLE_ID con l'ID della tabella di cui è stato eseguito il profiling.

    5. Nell'elenco visualizzato, fai clic sul nome della tabella. Vengono visualizzati i dettagli della tabella BigQuery. Gli eventuali aspetti Sensitive Data Protection profile associati vengono visualizzati nella sezione Tag e aspetti facoltativi.

    Per saperne di più su come cercare le risorse, vedi Cercare risorse in Dataplex Universal Catalog.

    Esempi di query di ricerca

    Questa sezione fornisce query di ricerca di esempio che puoi utilizzare in Dataplex Universal Catalog per trovare dati nella tua organizzazione o nel tuo progetto con valori di aspetto specifici.

    Puoi trovare solo i dati a cui hai accesso. L'accesso ai dati è controllato tramite le autorizzazioni IAM. Per saperne di più, vedi Ruoli e autorizzazioni per la visualizzazione degli aspetti in questa pagina.

    Puoi inserire queste query di esempio nel campo Cerca della pagina Cerca di Dataplex Universal Catalog.

    Vai a Cerca

    Per informazioni su come formare le query, consulta Sintassi di ricerca per Dataplex Universal Catalog.

    Trova tutte le risorse che hanno l'aspetto del profilo Sensitive Data Protection

    aspect:sensitive-data-protection-profile
    

    Trovare tutte le risorse con un determinato punteggio di sensibilità

    aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE
    

    Sostituisci SENSITIVITY_SCORE con HIGH, MODERATE, UNKNOWN o LOW.

    Per saperne di più, vedi Livelli di rischio dei dati e sensibilità.

    Trova tutte le risorse con un determinato punteggio di rischio

    aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL
    

    Sostituisci DATA_RISK_LEVEL con HIGH, MODERATE, UNKNOWN o LOW.

    Per saperne di più, vedi Livelli di rischio dei dati e sensibilità.

    Trova tutte le risorse che hanno un profilo a livello di progetto

    aspect:sensitive-data-protection-profile.projectProfile
    

    Trovare tutte le risorse che hanno un profilo a livello di organizzazione

    aspect:sensitive-data-protection-profile.organizationProfile