Uma ação da Proteção de Dados Sensíveis é algo que ocorre após a conclusão de uma operação ou, no caso de e-mails, em caso de erro. Por exemplo, é possível salvar as descobertas em uma tabela do BigQuery, publicar uma notificação em um tópico do Pub/Sub ou enviar um e-mail quando uma operação for concluída com sucesso ou interrompida em caso de erro.
Ações disponíveis
Quando você executa um job de proteção de dados sensíveis, um resumo das descobertas é salvo por
padrão na proteção de dados sensíveis. Confira esse resumo usando a Proteção de dados sensíveis no console do Google Cloud. Para
jobs, também é possível extrair informações resumidas na API DLP
usando o método
projects.dlpJobs.get
.
A Proteção de dados sensíveis oferece suporte a diferentes tipos de ações, dependendo do tipo de operação que está sendo executada. Confira a seguir as ações compatíveis.
Salvar descobertas no BigQuery
Salve os resultados do job de Proteção de dados sensíveis em uma tabela do BigQuery. Antes de conferir ou analisar os resultados, confira se o job foi concluído.
Sempre que uma verificação é executada, a Proteção de dados sensíveis salva as descobertas da verificação na tabela do BigQuery especificada. As descobertas exportadas contêm detalhes sobre o local de cada uma e comparam a probabilidade. Se você quiser que cada descoberta inclua a string que corresponde ao detector de infoType, ative a opção Incluir aspas.
Se você não especificar um ID de tabela, o BigQuery vai atribuir um nome padrão a uma nova tabela na primeira vez que a verificação for executada. Se você especificar uma tabela atual, a Proteção de dados sensíveis anexa as descobertas da verificação a ela.
Quando os dados são gravados em uma tabela do BigQuery, o uso do faturamento e da cota é aplicado ao projeto que contém a tabela de destino.
Se você não salvar as descobertas no BigQuery, os resultados da verificação só contêm estatísticas sobre o número e os infoTypes das descobertas.
Publicar no Pub/Sub
Publique uma notificação que contenha o nome do job de Proteção de dados sensíveis como um atributo em um canal do Pub/Sub. Você pode especificar um ou mais tópicos para enviar a mensagem de notificação. Verifique se a conta de serviço de Proteção de Dados Sensíveis que executa o job de verificação tem acesso de publicação ao tópico.
Se houver problemas de configuração ou permissão com o tópico do Pub/Sub, a Proteção de dados sensíveis vai tentar enviar a notificação do Pub/Sub por até duas semanas. Após duas semanas, a notificação é descartada.
Publicar no Security Command Center
Publica um resumo dos resultados do job no Security Command Center. Para mais informações, consulte Enviar resultados da verificação de proteção de dados sensíveis para o Security Command Center.
Publicar no Dataplex
Enviar os resultados do job ao Dataplex, o serviço de gerenciamento de metadados do Google Cloud.
Notificar por e-mail
Enviar um e-mail quando o job for concluído. O e-mail é enviado para proprietários de projetos do IAM e contatos técnicos essenciais.
Publicar no Cloud Monitoring
Enviar os resultados da inspeção para o Cloud Monitoring no Google Cloud Observability.
Fazer uma cópia desidentificada
Desidentifique as descobertas nos dados inspecionados e grave o conteúdo desidentificado em um novo arquivo. Em seguida, use a cópia desidentificada nos seus processos de negócios, em vez de dados que contenham informações sensíveis. Para mais informações, consulte Criar uma cópia desidentificada dos dados do Cloud Storage usando a Proteção de Dados Sensíveis no console do Google Cloud.
Operações suportadas
A tabela a seguir mostra as operações de proteção de dados sensíveis e onde cada ação está disponível.
Ação | Inspeção do BigQuery | Inspeção do Cloud Storage | Inspeção do Datastore | Inspeção híbrida | Análise de risco | Descoberta (criação de perfil de dados) |
---|---|---|---|---|---|---|
Publicar no Google Security Operations | ✓ | |||||
Salvar descobertas no BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Publicar no Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Publicar no Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
Publicar no Dataplex (Data Catalog) | ✓ | ✓ | ||||
Notificar por e-mail | ✓ | ✓ | ✓ | ✓ | ✓ | |
Publicar no Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
Desidentificar descobertas | ✓ |
Especificar ações
É possível especificar uma ou mais ações ao configurar uma Proteção de dados sensíveis:
- Ao criar um novo job de análise de inspeção ou risco usando a proteção de dados sensíveis no console do Google Cloud, especifique ações na seção Adicionar ações do fluxo de trabalho de criação de jobs.
- Ao configurar uma nova solicitação de job para enviar à API DLP,
especifique ações no
objeto
Action
.
Para mais informações e códigos de amostra em várias linguagens, acesse o conteúdo a seguir:
- Como criar e agendar jobs de inspeção
- Como calcular k-anonimato de um conjunto de dados
- Como calcular l-diversidade de um conjunto de dados
Exemplo de cenário de ação
Use as ações da Proteção de dados sensíveis para automatizar processos com base nos resultados da verificação da proteção de dados sensíveis. Suponha que você tenha uma tabela do BigQuery compartilhada com um parceiro externo. Você quer garantir que essa tabela
não contenha nenhum identificador confidencial, como números de seguro social dos EUA
(o
InfoType US_SOCIAL_SECURITY_NUMBER
),
e que se você encontrar alguma, o acesso ao parceiro seja revogado. Veja a seguir um resumo
de um fluxo de trabalho que usa ações:
- Crie um acionador de job de Proteção de dados confidenciais para executar uma verificação de inspeção da tabela do BigQuery a cada 24 horas.
- Defina a ação desses jobs para publicar uma notificação do Pub/Sub no tópico "projects/foo/scan_notifications".
- Crie uma função do Cloud Functions que detecte as mensagens recebidas em "projects/foo/scan_notifications". Essa Função do Cloud vai receber o nome do job de proteção de dados sensíveis a cada 24 horas, chamar a proteção de dados sensíveis para receber os resultados resumidos desse job e, se encontrar números de previdência social, poderá alterar as configurações no BigQuery ou no Identity and Access Management (IAM) para restringir o acesso à tabela.
A seguir
- Saiba mais sobre as ações disponíveis com jobs de inspeção.
- Saiba mais sobre as ações disponíveis com jobs de análise de risco.