Une action de protection des données sensibles est un événement qui se produit une fois qu'une opération a abouti ou, dans le cas d'e-mails, en cas d'erreur. Par exemple, vous pouvez enregistrer les résultats dans une table BigQuery, publier une notification dans un sujet Pub/Sub, ou envoyer un e-mail lorsqu'une opération aboutit ou s'arrête en cas d'erreur.
Actions disponibles
Lorsque vous exécutez une tâche de protection des données sensibles, un résumé de ses résultats est enregistré par défaut dans la section "Protection des données sensibles". Vous pouvez consulter ce résumé sur la page concernant la protection des données sensibles dans la console Google Cloud. Pour les tâches, vous pouvez également récupérer des informations récapitulatives dans l'API DLP à l'aide de la méthode projects.dlpJobs.get.
La protection des données sensibles accepte différents types d'actions en fonction du type d'opération en cours d'exécution. Voici les actions acceptées.
Enregistrer les résultats dans BigQuery
Enregistrez les résultats du job de protection des données sensibles dans une table BigQuery. Avant de visualiser ou d'analyser les résultats, assurez-vous que la tâche est bien terminée.
Chaque fois qu'une analyse est exécutée, la protection des données sensibles enregistre les résultats dans la table BigQuery que vous spécifiez. Les résultats exportés contiennent des informations sur l'emplacement de chaque résultat et la probabilité de correspondance. Si vous souhaitez que chaque résultat comprenne la chaîne correspondant au détecteur d'infoType, activez l'option Inclure les guillemets.
Si vous ne spécifiez pas d'ID de table, BigQuery attribue un nom par défaut à une nouvelle table la première fois que l'analyse est exécutée. Si vous spécifiez une table existante, la protection des données sensibles y ajoute les résultats d'analyse.
Lorsque des données sont écrites dans une table BigQuery, la facturation et l'utilisation des quotas sont appliquées au projet qui contient la table de destination.
Si vous n'enregistrez pas les résultats dans BigQuery, les résultats de l'analyse ne contiennent que des statistiques sur le nombre et les infoTypes des résultats.
Publier dans Pub/Sub
Publiez une notification contenant le nom de la tâche de protection des données sensibles en tant qu'attribut à un canal Pub/Sub. Vous pouvez spécifier un ou plusieurs sujets auxquels envoyer le message de notification. Assurez-vous que le compte de service de protection des données sensibles qui exécute la tâche d'analyse dispose d'un accès en publication sur le sujet.
En cas de problèmes de configuration ou d'autorisation avec le sujet Pub/Sub, le service de protection des données sensibles retente d'envoyer la notification Pub/Sub pendant deux semaines maximum. Après deux semaines, la notification est supprimée.
Publier dans Security Command Center
Publiez un résumé des résultats du job dans Security Command Center. Pour en savoir plus, consultez la page Envoyer les résultats des analyses liées à la protection des données sensibles à Security Command Center.
Publier dans Dataplex
Envoyer les résultats de tâches à Dataplex, le service de gestion de métadonnées de Google Cloud
Avertir par e-mail
Vous recevrez un e-mail lorsque le job sera terminé. L'e-mail est envoyé aux propriétaires de projets IAM et aux contacts essentiels techniques.
Publier sur Cloud Monitoring
Envoyer les résultats de l'inspection à Cloud Monitoring dans la suite Google Cloud Operations.
Créer une copie anonymisée
Anonymisez tous les résultats dans les données inspectées et écrivez le contenu anonymisé dans un nouveau fichier. Vous pouvez ensuite utiliser la copie anonymisée dans vos processus métier à la place des données contenant des informations sensibles. Pour en savoir plus, consultez Créer une copie anonymisée des données Cloud Storage à l'aide de la protection des données sensibles dans la console Google Cloud.
Opérations compatibles
Le tableau suivant indique les opérations de protection des données sensibles et les endroits où chaque action est disponible.
| Action | Inspection BigQuery | Inspection Cloud Storage | Inspection Datastore | Inspection hybride | Analyse des risques | Découverte (profil de données) |
|---|---|---|---|---|---|---|
| Publier sur Chronicle | ✓ | |||||
| Enregistrer les résultats dans BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publier dans Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publier dans Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
| Publier dans Dataplex (Data Catalog) | ✓ | ✓ | ||||
| Avertir par e-mail | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Publier sur Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
| Anonymiser les résultats | ✓ |
Spécifier des actions
Vous pouvez spécifier une ou plusieurs actions lorsque vous configurez une protection des données sensibles:
- Lorsque vous créez une tâche d'inspection ou d'analyse des risques à l'aide de la protection des données sensibles dans la console Google Cloud, spécifiez des actions dans la section Ajouter des actions du workflow de création de tâche.
- Lorsque vous configurez une nouvelle requête de tâche à envoyer à l'API DLP, vous pouvez spécifier des actions dans l'objet
Action.
Pour obtenir plus d'informations et des exemples de code dans plusieurs langages, consultez les sections suivantes :
- Créer et planifier des tâches d'inspection
- Calculer k-anonymat pour un ensemble de données
- Calculer l-diversité pour un ensemble de données
Exemple de scénario d'action
Vous pouvez utiliser les actions de protection des données sensibles pour automatiser les processus en fonction des résultats des analyses de protection des données sensibles. Supposons que vous partagez une table BigQuery avec un partenaire externe. Vous voulez vous assurer que cette table ne contient aucun identifiant sensible, par exemple des numéros de sécurité sociale américains (l'infoType US_SOCIAL_SECURITY_NUMBER), et que, si vous en trouvez, l'accès est révoqué pour le partenaire. Voici un exemple de workflow utilisant des actions :
- Créez un déclencheur de tâche de protection des données sensibles pour exécuter une analyse d'inspection de la table BigQuery toutes les 24 heures.
- Définissez l'action suivante pour ces tâches : publier une notification Pub/Sub dans le sujet "projects/foo/scan_notifications".
- Créez une fonction Cloud qui écoute les messages entrants sur "projects/foo/scan_notifications". Cette fonction Cloud recevra le nom de la tâche de protection des données sensibles toutes les 24 heures, appelle la protection des données sensibles pour obtenir un résumé des résultats de cette tâche. Si elle trouve des numéros de sécurité sociale, elle peut modifier les paramètres dans BigQuery ou Identity and Access Management (IAM) pour limiter l'accès à la table.
Étapes suivantes
- Découvrez les actions disponibles avec les tâches d'inspection.
- Découvrez les actions disponibles avec les tâches d'analyse des risques.