Este documento descreve as ações que a proteção de dados confidenciais pode realizar após executar uma tarefa de inspeção ou uma análise de risco.
Uma ação é uma tarefa que a proteção de dados confidenciais realiza após concluir uma tarefa de inspeção ou uma análise de risco. Por exemplo, pode guardar resultados numa tabela do BigQuery, publicar uma notificação num tópico do Pub/Sub ou enviar um email quando uma operação termina com êxito ou é interrompida devido a um erro.
As operações de deteção de dados confidenciais têm um conjunto diferente de ações. Para mais informações sobre as ações de descoberta, consulte o artigo Ative as ações de descoberta.
Ações disponíveis
Quando executa uma tarefa de proteção de dados confidenciais, é guardado um resumo das respetivas conclusões por predefinição na proteção de dados confidenciais. Pode ver este resumo através da
proteção de dados confidenciais na Google Cloud consola. Também pode aceder a informações de resumo na API DLP através do método
projects.dlpJobs.get.
As secções seguintes descrevem as ações disponíveis para tarefas de inspeção e análise de risco.
Guarde as conclusões no BigQuery
Guardar os resultados da tarefa de proteção de dados confidenciais numa tabela do BigQuery. Antes de ver ou analisar os resultados, verifique primeiro se a tarefa foi concluída.
Sempre que uma análise é executada, a proteção de dados confidenciais guarda as conclusões da análise na tabela do BigQuery que especificar. Os resultados exportados contêm detalhes sobre a localização de cada resultado e a probabilidade de correspondência.
Se quiser que cada resultado inclua a string que correspondeu ao detetor infoType, ative a opção Incluir aspas. As citações são potencialmente confidenciais, pelo que a Proteção de dados confidenciais não as inclui nas descobertas por predefinição.
Se não especificar um ID da tabela,
o BigQuery atribui um nome predefinido a uma nova tabela na primeira vez
que a análise é executada. O nome é semelhante a
dlpgoogleapisDATE_1234567890, onde
DATE representa a data em que a análise é executada. Se especificar uma tabela existente, a proteção de dados confidenciais anexa as conclusões da análise à mesma.
Quando os dados são escritos numa tabela do BigQuery, a faturação e a utilização de quotas são aplicadas ao projeto que contém a tabela de destino.
Guarde as descobertas no Cloud Storage
Guarde os resultados da tarefa de proteção de dados confidenciais num contentor ou numa pasta do Cloud Storage existente. Antes de ver ou analisar os resultados, verifique primeiro se a tarefa foi concluída.
Se estiver a inspecionar um contentor do Cloud Storage, o contentor que designar para as conclusões exportadas não pode ser o contentor que está a inspecionar.
Sempre que uma análise é executada, a Proteção de dados confidenciais guarda as conclusões da análise na localização do Cloud Storage que especificar. As conclusões exportadas contêm detalhes sobre a localização de cada conclusão e a probabilidade de correspondência.
Se quiser que cada resultado inclua a string que correspondeu ao detetor infoType, ative a opção Incluir aspas. As citações são potencialmente confidenciais, pelo que a Proteção de dados confidenciais não as inclui nas descobertas por predefinição.
As conclusões são exportadas no formato de texto Protobuf como um objeto
SaveToGcsFindingsOutput. Para ver informações sobre como analisar as descobertas neste formato, consulte o artigo Analise as descobertas armazenadas como texto Protobuf.
Publicar no Pub/Sub
Publicar uma notificação que contenha o nome da tarefa de proteção de dados confidenciais como um atributo num canal do Pub/Sub. Pode especificar um ou mais tópicos para os quais quer enviar a mensagem de notificação. Certifique-se de que a conta de serviço do serviço de proteção de dados confidenciais que executa a tarefa de análise tem acesso de publicação no tópico.
Se existirem problemas de configuração ou autorização com o tópico do Pub/Sub, a Proteção de dados confidenciais tenta reenviar a notificação do Pub/Sub durante um período máximo de duas semanas. Após duas semanas, a notificação é rejeitada.
Publicação no Security Command Center
Publicar um resumo dos resultados da tarefa no Security Command Center. Para mais informações, consulte o artigo Envie os resultados da análise da Proteção de dados confidenciais para o Centro de comandos de segurança.
Para usar esta ação, o seu projeto tem de pertencer a uma organização e o Security Command Center tem de estar ativado ao nível da organização. Caso contrário, as conclusões da proteção de dados confidenciais não aparecem no Security Command Center. Para mais informações, consulte o artigo Verifique o nível de ativação do Security Command Center.
Publique no catálogo de dados
Envie os resultados das tarefas para o catálogo de dados. Esta funcionalidade está obsoleta.
Notificar por email
Enviar um email quando a tarefa for concluída. O email é enviado para os proprietários do projeto do IAM e os contactos essenciais técnicos.
Publique no Cloud Monitoring
Enviar resultados da inspeção para o Cloud Monitoring em Google Cloud Observability.
Crie uma cópia desidentificada
Remova a identificação de todas as conclusões nos dados inspecionados e escreva o conteúdo sem identificação num novo ficheiro. Em seguida, pode usar a cópia anonimizada nos processos da sua empresa, em vez de dados que contenham informações confidenciais. Para mais informações, consulte o artigo Crie uma cópia desidentificada dos dados do Cloud Storage através da Proteção de dados confidenciais na Google Cloud consola.
Operações compatíveis
A tabela seguinte mostra as operações de proteção de dados confidenciais e onde cada ação está disponível.
| Ação | Inspeção do BigQuery | Inspeção do Cloud Storage | Inspeção da base de dados | Inspeção híbrida | Análise de risco |
|---|---|---|---|---|---|
| Guarde as conclusões no BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| Guarde as descobertas no Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| Publicar no Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicação no Security Command Center | ✓ | ✓ | ✓ | ||
| Publicar no Data Catalog (descontinuado) | ✓ | ||||
| Notificar por email | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publique no Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| Desidentifique as conclusões | ✓ |
Especifique ações
Pode especificar uma ou mais ações quando configura uma tarefa:
- Quando cria uma nova tarefa de inspeção ou análise de riscos através da proteção de dados confidenciais na Google Cloud consola, especifique ações na secção Adicionar ações do fluxo de trabalho de criação de tarefas.
- Quando configura um novo pedido de tarefa para enviar para a API DLP, especifique ações no objeto
Action.
Para mais informações e código de exemplo em vários idiomas, consulte:
- Criar e agendar trabalhos de inspeção
- Calcular a k-anonimidade para um conjunto de dados
- Calcular a l-diversidade para um conjunto de dados
Cenário de ação de exemplo
Pode usar ações de proteção de dados confidenciais para automatizar processos com base nos resultados da análise da proteção de dados confidenciais. Suponhamos que tem uma tabela do BigQuery partilhada com um parceiro externo. Quer garantir que esta tabela não contém identificadores confidenciais, como números da segurança social dos EUA (o infoType US_SOCIAL_SECURITY_NUMBER), e que, se encontrar algum, o acesso é revogado ao parceiro. Segue-se um esboço
de um fluxo de trabalho que usaria ações:
- Crie um acionador de tarefa de proteção de dados confidenciais para executar uma análise de inspeção da tabela do BigQuery a cada 24 horas.
- Defina a ação destes trabalhos para publicar uma notificação do Pub/Sub no tópico "projects/foo/scan_notifications".
- Crie uma função do Cloud que ouça as mensagens recebidas em "projects/foo/scan_notifications". Esta função do Google Cloud vai receber o nome da tarefa de proteção de dados confidenciais a cada 24 horas, chamar a proteção de dados confidenciais para obter resultados de resumo desta tarefa e, se encontrar números da segurança social, pode alterar as definições no BigQuery ou na gestão de identidades e acessos (IAM) para restringir o acesso à tabela.
O que se segue?
- Saiba mais sobre as ações disponíveis com as tarefas de inspeção.
- Saiba mais sobre as ações disponíveis com tarefas de análise de risco.
- Saiba mais acerca das ações disponíveis com as operações de deteção de dados sensíveis.