敏感数据保护具有许多强大的功能,但如果您指示敏感数据保护扫描的信息量很大,敏感数据保护的使用费有可能会非常高。本主题介绍了几种方法,它们让您能够在降低费用的同时保证使用 Sensitive Data Protection 扫描您所计划的确切数据。
检查
Google 建议您采用以下做法来控制检查费用。
通过采样来限制检查的字节数
如果您要扫描 BigQuery 表或 Cloud Storage 存储分区,敏感数据保护可以扫描数据集的一小部分。这可以提供扫描结果的采样,而不会产生扫描整个数据集的潜在费用。
找到包含敏感数据的样本后,您可以安排对该数据集进行第二次更详尽的扫描,以发现整个结果列表。
如需了解详情,请参阅检查存储空间和数据库中是否存在敏感数据中的限制检查的内容量。
仅扫描已更改的数据
您可以指示 Sensitive Data Protection 不要扫描自上次检查以来未修改的数据。通过设置时间范围,您可以基于上次修改数据的时间来控制要扫描的数据。
如果您在使用作业触发器,则可以在 TimespanConfig 中设置标志 enable_auto_population_of_timespan_config,以自动跳过在上次计划作业期间扫描过的内容。
如需了解详情,请参阅创建和安排敏感数据保护检查作业中的仅扫描新内容。
限制在扫描 Cloud Storage 中的文件时仅扫描相关文件
通过指定 CloudStorageRegexFileSet 消息,您可以使用正则表达式过滤条件更精细地控制要包含或排除存储分区中的哪些文件或文件夹。
这对于以下情况非常有用:您想要跳过扫描您认为不包含敏感数据的文件(例如备份、TMP 文件、静态 Web 内容等)。
发现
我们建议您采用以下做法来控制数据性能分析费用。
运行估算
在开始数据分析操作之前,不妨先运行估算。通过运行估算,您可以了解要分析的 BigQuery 数据的大小和形状。每个估算值都会提供大致的表数量、数据大小和性能分析开销。它还会显示 BigQuery 数据的月度增长情况预测。
如需详细了解如何运行估算,请参阅以下内容:
在扫描配置中添加时间表
为帮助控制数据分析的费用,不妨考虑创建时间表,在其中设置过滤条件和条件。以下是您可以执行的一些操作示例:
- 如果您不需要分析某些表,可以指定绝不分析与您的过滤条件匹配的表。
- 如果您只想分析特定表,可以为所有表(除了与过滤条件匹配的表)关闭性能分析。
- 如果您希望仅对某些表进行一次性能分析,以后不再进行,则可以指定这些表绝不能重新进行性能分析。
- 如果您不需要分析旧表,可以设置条件,以便仅分析在特定日期之后创建的表。
- 如果您不需要分析新表,可以设置条件,仅在表达到特定年龄或行数达到最低值时分析表。
使用信息中心查看费用并查询审核日志
创建信息中心来查看结算数据,以便调整敏感数据保护使用量。此外,还要考虑将审核日志流式传输到敏感数据保护,以便分析使用模式。
您可以将结算数据导出到 BigQuery,并在 Looker 数据洞察等工具中直观呈现这些数据。如需查看有关如何创建结算信息中心的教程,请参阅使用 BigQuery 和 Looker 数据洞察直观呈现 Google Cloud 结算信息。
此外,您还可以将审核日志流式插入到 BigQuery,并分析日志以了解使用规律(例如用户的查询费用)。
设置预算提醒
设置预算提醒以跟踪支出是如何达到特定金额的。设置预算不会限制 API 的使用,它只会在支出金额接近指定金额时提醒您。