Eine Aktion für den Schutz sensibler Daten wird ausgeführt, nachdem ein Vorgang erfolgreich abgeschlossen wurde oder, im Fall von E-Mails, bei einem Fehler. Sie können beispielsweise Ergebnisse in einer BigQuery-Tabelle speichern, eine Benachrichtigung in einem Pub/Sub-Thema veröffentlichen oder eine E-Mail senden, wenn ein Vorgang erfolgreich abgeschlossen wurde oder bei einem Fehler beendet wird.
Verfügbare Aktionen
Wenn Sie einen Job zum Schutz sensibler Daten ausführen, wird standardmäßig eine Zusammenfassung der Ergebnisse unter „Schutz sensibler Daten“ gespeichert. Sie können sich diese Zusammenfassung mithilfe des Schutzes sensibler Daten in der Google Cloud Console ansehen. Für Jobs können Sie auch zusammenfassende Informationen in der DLP API mithilfe der Methode projects.dlpJobs.get abrufen.
Der Schutz sensibler Daten unterstützt je nach Art der ausgeführten Operationen unterschiedliche Arten von Aktionen. Die folgenden Aktionen werden unterstützt.
Ergebnisse in BigQuery speichern
Speichern Sie die Ergebnisse des Jobs zum Schutz sensibler Daten in einer BigQuery. Bevor Sie die Ergebnisse ansehen oder analysieren, prüfen Sie zuerst, ob der Job abgeschlossen wurde.
Bei jedem Scan speichert der Schutz sensibler Daten die Scanergebnisse in der von Ihnen angegebenen BigQuery-Tabelle. Die exportierten Ergebnisse enthalten Details zum Speicherort und zur Übereinstimmungswahrscheinlichkeit jedes Ergebnisses. Wenn jedes Ergebnis den String enthalten soll, der mit dem infoType-Detektor übereinstimmt, aktivieren Sie die Option Anführungszeichen einschließen.
Wenn Sie keine Tabellen-ID angeben, weist BigQuery einer neuen Tabelle bei der ersten Ausführung des Scans einen Standardnamen zu. Wenn Sie eine vorhandene Tabelle angeben, fügt der Schutz sensibler Daten Scanergebnisse an diese Tabelle an.
Wenn Daten in eine BigQuery-Tabelle geschrieben werden, werden die Abrechnungs- und Kontingentnutzung auf das Projekt angewendet, das die Zieltabelle enthält.
Wenn Sie Ergebnisse nicht in BigQuery speichern, enthalten die Scanergebnisse nur Statistiken zur Anzahl und infoTypes der Ergebnisse.
In Pub/Sub veröffentlichen
Veröffentlichen Sie in einem Pub/Sub-Kanal eine Benachrichtigung, die den Namen des Jobs für den Schutz sensibler Daten als Attribut enthält. Sie können ein oder mehrere Themen angeben, an die die Benachrichtigung gesendet werden soll. Sorgen Sie dafür, dass das Dienstkonto für den Schutz sensibler Daten, das den Scanjob ausführt, Veröffentlichungszugriff auf das Thema hat.
Wenn es Konfigurations- oder Berechtigungsprobleme mit dem Pub/Sub-Thema gibt, versucht der Schutz sensibler Daten bis zu zwei Wochen lang, die Pub/Sub-Benachrichtigung zu senden. Nach zwei Wochen wird die Benachrichtigung verworfen.
In Security Command Center veröffentlichen
Veröffentlichen Sie eine Zusammenfassung der Jobergebnisse in Security Command Center. Weitere Informationen finden Sie unter Ergebnisse von Scans zum Schutz sensibler Daten an Security Command Center senden.
In Dataplex veröffentlichen
Jobergebnisse an Dataplex senden, den Metadatenverwaltungsdienst von Google Cloud.
Per E-Mail benachrichtigen
Senden Sie eine E-Mail, wenn der Job abgeschlossen ist. Die E-Mail wird an IAM-Projektinhaber und wichtige Kontakte gesendet.
In Cloud Monitoring veröffentlichen
Inspektionsergebnisse an Cloud Monitoring in der Operations-Suite von Google Cloud senden
De-identifizierte Kopie erstellen
De-identifizieren Sie alle Ergebnisse in den geprüften Daten und schreiben Sie den de-identifizierten Inhalt in eine neue Datei. Sie können dann die de-identifizierte Kopie in Ihren Geschäftsprozessen anstelle von Daten verwenden, die vertrauliche Informationen enthalten. Weitere Informationen finden Sie unter In der Google Cloud Console eine de-identifizierte Kopie von Cloud Storage-Daten mithilfe des Schutzes sensibler Daten erstellen.
Unterstützte Vorgänge
Die folgende Tabelle zeigt die Vorgänge zum Schutz sensibler Daten und die Verfügbarkeit der einzelnen Aktionen.
| Aktion | BigQuery-Prüfung | Cloud Storage-Prüfung | Datastore-Prüfung | Hybridprüfung | Risikoanalyse | Discovery (Datenprofilerstellung) |
|---|---|---|---|---|---|---|
| In Chronicle veröffentlichen | ✓ | |||||
| Ergebnisse in BigQuery speichern | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| In Pub/Sub veröffentlichen | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| In Security Command Center veröffentlichen | ✓ | ✓ | ✓ | ✓ | ||
| In Dataplex (Data Catalog) veröffentlichen | ✓ | ✓ | ||||
| Per E-Mail benachrichtigen | ✓ | ✓ | ✓ | ✓ | ✓ | |
| In Cloud Monitoring veröffentlichen | ✓ | ✓ | ✓ | ✓ | ||
| Ergebnisse de-identifizieren | ✓ |
Aktionen angeben
Beim Konfigurieren des Schutzes sensibler Daten können Sie eine oder mehrere Aktionen angeben:
- Wenn Sie in der Google Cloud Console einen neuen Inspektions- oder Risikoanalysejob mit dem Schutz sensibler Daten erstellen, geben Sie im Joberstellungsworkflow im Abschnitt Aktionen hinzufügen Aktionen an.
- Wenn Sie eine neue Jobanfrage konfigurieren, um sie an die DLP API zu senden, geben Sie Aktionen im Objekt
Actionan.
Weitere Informationen und Beispielcode in mehreren Sprachen finden Sie unter:
- Inspektionsjobs erstellen und planen
- k-Anonymität für ein Dataset berechnen
- l-Diversität für ein Dataset berechnen
Beispielszenario für eine Aktion
Mit Maßnahmen zum Schutz sensibler Daten können Sie Prozesse basierend auf den Scanergebnissen zum Schutz sensibler Daten automatisieren. Angenommen, Sie haben eine BigQuery-Tabelle für einen externen Partner freigegeben. Sie möchten, dass diese Tabelle keine vertraulichen Kennzeichnungen wie US-Sozialversicherungsnummern (infoType US_SOCIAL_SECURITY_NUMBER) enthält und, falls doch solche Kennzeichnungen gefunden werden, der Partner keinen Zugriff erhält. Hier ist ein grober Überblick über einen Workflow mit Aktionen:
- Erstellen Sie einen Job-Trigger für den Schutz sensibler Daten, mit dem alle 24 Stunden ein Inspektionsscan der BigQuery-Tabelle ausgeführt wird.
- Legen Sie für diese Jobs als Aktion fest, dass eine Pub/Sub-Benachrichtigung im Thema "projects/foo/scan_notifications" veröffentlicht wird.
- Erstellen Sie eine Cloud Functions-Funktion, die eingehende Nachrichten auf "projects/foo/scan_notifications" überwacht. Diese Cloud Functions-Funktion empfängt alle 24 Stunden den Namen des Jobs zum Schutz sensibler Daten und ruft den Schutz sensibler Daten auf, um zusammenfassende Ergebnisse für diesen Job zu erhalten. Falls Sozialversicherungsnummern gefunden werden, kann sie die Einstellungen in BigQuery oder der Identitäts- und Zugriffsverwaltung (IAM) ändern, um den Zugriff auf die Tabelle einzuschränken.
Nächste Schritte
- Mehr zu den für Inspektionsjobs verfügbaren Aktionen
- Mehr zu Aktionen, die mit Risikoanalysejobs verfügbar sind