Eine Aktion des Schutzes sensibler Daten ist ein Vorgang, der nach dem erfolgreichen Abschluss eines Vorgangs oder im Fall von E-Mails bei Auftreten eines Fehlers ausgeführt wird. Beispielsweise können Sie die Ergebnisse in einer BigQuery-Tabelle speichern, eine Benachrichtigung in einem Pub/Sub-Thema veröffentlichen oder eine E-Mail senden, wenn ein Vorgang erfolgreich abgeschlossen oder wegen eines Fehlers beendet wurde.
Verfügbare Aktionen
Wenn Sie einen Job für den Schutz sensibler Daten ausführen, wird standardmäßig eine Zusammenfassung der Ergebnisse in Sensitive Data Protection gespeichert. Sie können diese Zusammenfassung mithilfe des Schutzes sensibler Daten in der Google Cloud Console aufrufen. Für Jobs können Sie auch zusammenfassende Informationen in der DLP API mit der Methode projects.dlpJobs.get abrufen.
Je nach Art des ausgeführten Vorgangs werden von Sensitive Data Protection verschiedene Arten von Aktionen unterstützt. Folgende Aktionen werden unterstützt:
Ergebnisse in BigQuery speichern
Speichern Sie die Ergebnisse des Jobs zum Schutz sensibler Daten in einer BigQuery. Bevor Sie die Ergebnisse ansehen oder analysieren, sollten Sie zuerst prüfen, ob der Job abgeschlossen wurde.
Bei jeder Ausführung eines Scans speichert der Schutz sensibler Daten die Scanergebnisse in der von Ihnen angegebenen BigQuery-Tabelle. Die exportierten Ergebnisse enthalten Details zum Speicherort der einzelnen Übereinstimmungen und zur Übereinstimmungswahrscheinlichkeit. Wenn jedes Ergebnis den String enthalten soll, der mit dem infoType-Detektor übereinstimmt, aktivieren Sie die Option Anführungszeichen einschließen.
Wenn Sie keine Tabellen-ID angeben, weist BigQuery einer neuen Tabelle einen Standardnamen zu, wenn der Scan zum ersten Mal ausgeführt wird. Wenn Sie eine vorhandene Tabelle angeben, hängt der Schutz sensibler Daten Scanergebnisse an diese an.
Wenn Daten in eine BigQuery-Tabelle geschrieben werden, werden die Abrechnung und Kontingentnutzung auf das Projekt angewendet, das die Zieltabelle enthält.
Wenn Sie die Ergebnisse nicht in BigQuery speichern, enthalten die Scanergebnisse nur Statistiken zur Anzahl und zu den infoTypes der Ergebnisse.
In Pub/Sub veröffentlichen
Veröffentlichen Sie eine Benachrichtigung, die den Namen des Jobs zum Schutz sensibler Daten als Attribut für einen Pub/Sub-Kanal enthält. Sie können eine oder mehrere Themen angeben, an die die Benachrichtigung gesendet werden soll. Das Dienstkonto für den Schutz sensibler Daten, mit dem der Scanjob ausgeführt wird, muss Veröffentlichungszugriff auf das Thema haben.
Bei Konfigurations- oder Berechtigungsproblemen mit dem Pub/Sub-Thema versucht der Dienst zum Schutz sensibler Daten bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung noch einmal zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.
In Security Command Center veröffentlichen
Eine Zusammenfassung der Jobergebnisse im Security Command Center veröffentlichen. Weitere Informationen finden Sie unter Scanergebnisse zum Schutz sensibler Daten an das Security Command Center senden.
In Dataplex veröffentlichen
Jobergebnisse an Dataplex senden, den Metadatenverwaltungsdienst von Google Cloud.
Per E-Mail benachrichtigen
E-Mail senden, wenn der Job abgeschlossen ist Die E-Mail wird an IAM-Projektinhaber und wichtige technische Kontakte gesendet.
In Cloud Monitoring veröffentlichen
Senden Sie Inspektionsergebnisse an Cloud Monitoring in Google Cloud Observability.
De-identifizierte Kopie erstellen
De-identifizieren Sie alle Ergebnisse in den geprüften Daten und schreiben Sie den de-identifizierten Inhalt in eine neue Datei. Sie können die de-identifizierte Kopie dann in Ihren Geschäftsprozessen anstelle von Daten verwenden, die vertrauliche Informationen enthalten. Weitere Informationen finden Sie unter De-identifizierte Kopie von Cloud Storage-Daten mit Sensitive Data Protection in der Google Cloud Console erstellen.
Unterstützte Vorgänge
In der folgenden Tabelle sind die Vorgänge zum Schutz sensibler Daten und ihre Verfügbarkeit aufgeführt.
| Aktion | BigQuery-Prüfung | Cloud Storage-Prüfung | Datastore-Prüfung | Hybridprüfung | Risikoanalyse | Erkundung (Datenprofilierung) |
|---|---|---|---|---|---|---|
| In Google Security Operations veröffentlichen | ✓ | |||||
| Ergebnisse in BigQuery speichern | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| In Pub/Sub veröffentlichen | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| In Security Command Center veröffentlichen | ✓ | ✓ | ✓ | ✓ | ||
| In Dataplex veröffentlichen (Data Catalog) | ✓ | ✓ | ||||
| Per E-Mail benachrichtigen | ✓ | ✓ | ✓ | ✓ | ✓ | |
| In Cloud Monitoring veröffentlichen | ✓ | ✓ | ✓ | ✓ | ||
| Ergebnisse de-identifizieren | ✓ |
Aktionen angeben
Sie können beim Konfigurieren des Schutzes sensibler Daten eine oder mehrere Aktionen angeben:
- Wenn Sie einen neuen Inspektions- oder Risikoanalysejob mit dem Schutz sensibler Daten in der Google Cloud Console erstellen, geben Sie Aktionen im Abschnitt Aktionen hinzufügen des Workflows zur Joberstellung an.
- Wenn Sie eine neue Jobanfrage konfigurieren, um sie an die DLP API zu senden, geben Sie Aktionen im Objekt
Actionan.
Weitere Informationen und Beispielcode in mehreren Sprachen finden Sie unter:
- Inspektionsjobs erstellen und planen
- k-Anonymität für ein Dataset berechnen
- l-Diversität für ein Dataset berechnen
Beispielszenario für eine Aktion
Sie können Sensitive Data Protection-Aktionen verwenden, um Prozesse basierend auf Sensitive Data Protection-Scanergebnissen zu automatisieren. Angenommen, Sie haben eine BigQuery-Tabelle für einen externen Partner freigegeben. Sie möchten, dass diese Tabelle keine vertraulichen Kennzeichnungen wie US-Sozialversicherungsnummern (infoType US_SOCIAL_SECURITY_NUMBER) enthält und, falls doch solche Kennzeichnungen gefunden werden, der Partner keinen Zugriff erhält. Hier ist ein grober Überblick über einen Workflow mit Aktionen:
- Erstellen Sie einen Job-Trigger für den Schutz sensibler Daten, mit dem alle 24 Stunden ein Inspektionsscan der BigQuery-Tabelle ausgeführt wird.
- Legen Sie für diese Jobs als Aktion fest, dass eine Pub/Sub-Benachrichtigung im Thema "projects/foo/scan_notifications" veröffentlicht wird.
- Erstellen Sie eine Cloud Functions-Funktion, die eingehende Nachrichten auf "projects/foo/scan_notifications" überwacht. Diese Cloud Function empfängt alle 24 Stunden den Namen des Jobs zum Schutz sensibler Daten und ruft den Dienst zum Schutz sensibler Daten auf, um zusammengefasste Ergebnisse von diesem Job zu erhalten. Wurden Sozialversicherungsnummern gefunden, kann die Funktion die Einstellungen in BigQuery oder in Identity and Access Management (IAM) ändern, um den Zugriff auf die Tabelle zu beschränken.
Nächste Schritte
- Mehr zu den für Inspektionsjobs verfügbaren Aktionen
- Mehr zu Aktionen, die mit Risikoanalysejobs verfügbar sind