Ações

Uma ação da Proteção de Dados Sensíveis é algo que ocorre após a conclusão de uma operação ou, no caso de e-mails, em caso de erro. Por exemplo, é possível salvar as descobertas em uma tabela do BigQuery, publicar uma notificação em um tópico do Pub/Sub ou enviar um e-mail quando uma operação for concluída com sucesso ou interrompida em caso de erro.

Ações disponíveis

Quando você executa um job de proteção de dados sensíveis, um resumo das descobertas é salvo por padrão na proteção de dados sensíveis. Confira esse resumo usando a Proteção de dados sensíveis no console do Google Cloud. Para jobs, também é possível extrair informações resumidas na API DLP usando o método projects.dlpJobs.get.

A Proteção de dados sensíveis oferece suporte a diferentes tipos de ações, dependendo do tipo de operação que está sendo executada. Confira a seguir as ações compatíveis.

Salvar descobertas no BigQuery

Salve os resultados do job de Proteção de dados sensíveis em uma tabela do BigQuery. Antes de conferir ou analisar os resultados, confira se o job foi concluído.

Sempre que uma verificação é executada, a Proteção de dados sensíveis salva as descobertas da verificação na tabela do BigQuery especificada. As descobertas exportadas contêm detalhes sobre o local de cada uma e comparam a probabilidade. Se você quiser que cada descoberta inclua a string que corresponde ao detector de infoType, ative a opção Incluir aspas.

Se você não especificar um ID de tabela, o BigQuery vai atribuir um nome padrão a uma nova tabela na primeira vez que a verificação for executada. Se você especificar uma tabela atual, a Proteção de dados sensíveis anexa as descobertas da verificação a ela.

Quando os dados são gravados em uma tabela do BigQuery, o uso do faturamento e da cota é aplicado ao projeto que contém a tabela de destino.

Se você não salvar as descobertas no BigQuery, os resultados da verificação só vão conter estatísticas sobre o número e os infoTypes das descobertas.

Publicar no Pub/Sub

Publique uma notificação que contenha o nome do job de Proteção de dados sensíveis como um atributo em um canal do Pub/Sub. Você pode especificar um ou mais tópicos para enviar a mensagem de notificação. Verifique se a conta de serviço de Proteção de Dados Sensíveis que executa o job de verificação tem acesso de publicação ao tópico.

Se houver problemas de configuração ou permissão com o tópico do Pub/Sub, a Proteção de dados sensíveis vai tentar enviar a notificação do Pub/Sub por até duas semanas. Após duas semanas, a notificação é descartada.

Publicar no Security Command Center

Publica um resumo dos resultados do job no Security Command Center. Para mais informações, consulte Enviar resultados da verificação de proteção de dados sensíveis para o Security Command Center.

Publicar no Dataplex

Enviar os resultados do job ao Dataplex, o serviço de gerenciamento de metadados do Google Cloud.

Notificar por e-mail

Enviar um e-mail quando o job for concluído. O e-mail é enviado para proprietários de projetos do IAM e contatos técnicos essenciais.

Publicar no Cloud Monitoring

Enviar os resultados da inspeção para o Cloud Monitoring no Google Cloud Observability.

Fazer uma cópia desidentificada

Desidentifique todas as descobertas nos dados inspecionados e grave o conteúdo desidentificado em um novo arquivo. Em seguida, use a cópia desidentificada nos seus processos de negócios, em vez de dados que contenham informações sensíveis. Para mais informações, consulte Criar uma cópia desidentificada dos dados do Cloud Storage usando a Proteção de Dados Sensíveis no console do Google Cloud.

Operações suportadas

A tabela a seguir mostra as operações de proteção de dados sensíveis e onde cada ação está disponível.

Ação Inspeção do BigQuery Inspeção do Cloud Storage Inspeção do Datastore Inspeção híbrida Análise de risco Descoberta (criação de perfil de dados)
Publicar no Google Security Operations
Salvar descobertas no BigQuery
Publicar no Pub/Sub
Publicar no Security Command Center
Publicar no Dataplex (Data Catalog)
Notificar por e-mail
Publicar no Cloud Monitoring
Desidentificar descobertas

Especificar ações

É possível especificar uma ou mais ações ao configurar uma Proteção de dados sensíveis:

  • Ao criar um novo job de análise de inspeção ou risco usando a proteção de dados sensíveis no console do Google Cloud, especifique ações na seção Adicionar ações do fluxo de trabalho de criação de jobs.
  • Ao configurar uma nova solicitação de job para enviar à API DLP, especifique ações no objeto Action.

Para mais informações e códigos de amostra em várias linguagens, acesse o conteúdo a seguir:

Exemplo de cenário de ação

Use as ações da Proteção de dados sensíveis para automatizar processos com base nos resultados da verificação. Suponha que você tenha uma tabela do BigQuery compartilhada com um parceiro externo. Você quer garantir que essa tabela não contenha nenhum identificador confidencial, como números de seguro social dos EUA (o InfoType US_SOCIAL_SECURITY_NUMBER), e que se você encontrar alguma, o acesso ao parceiro seja revogado. Veja a seguir um resumo de um fluxo de trabalho que usa ações:

  1. Crie um acionador de job de Proteção de dados confidenciais para executar uma verificação de inspeção da tabela do BigQuery a cada 24 horas.
  2. Defina a ação desses jobs para publicar uma notificação do Pub/Sub no tópico "projects/foo/scan_notifications".
  3. Crie uma função do Cloud Functions que detecte as mensagens recebidas em "projects/foo/scan_notifications". Essa Função do Cloud vai receber o nome do job de proteção de dados sensíveis a cada 24 horas, chamar a proteção de dados sensíveis para receber os resultados resumidos desse job e, se encontrar números de previdência social, poderá alterar as configurações no BigQuery ou no Identity and Access Management (IAM) para restringir o acesso à tabela.

A seguir