Dokumen ini menjelaskan tindakan yang dapat dilakukan Perlindungan Data Sensitif setelah menjalankan tugas pemeriksaan atau analisis risiko.
Tindakan adalah tugas yang dilakukan Sensitive Data Protection setelah menyelesaikan tugas pemeriksaan atau analisis risiko. Misalnya, Anda dapat menyimpan temuan ke tabel BigQuery, memublikasikan notifikasi ke topik Pub/Sub, atau mengirim email saat operasi berhasil diselesaikan atau berhenti karena error.
Operasi penemuan data sensitif memiliki serangkaian tindakan yang berbeda. Untuk informasi selengkapnya tentang tindakan penemuan, lihat Mengaktifkan tindakan penemuan.
Tindakan yang tersedia
Saat Anda menjalankan tugas Sensitive Data Protection, ringkasan temuannya akan disimpan secara default dalam Sensitive Data Protection. Anda dapat melihat ringkasan ini menggunakan
Sensitive Data Protection di konsol Google Cloud . Anda
juga dapat mengambil informasi ringkasan di DLP API menggunakan metode
projects.dlpJobs.get.
Bagian berikut menjelaskan tindakan yang tersedia untuk tugas inspeksi dan analisis risiko.
Menyimpan temuan ke BigQuery
Simpan hasil tugas Perlindungan Data Sensitif ke tabel BigQuery. Sebelum melihat atau menganalisis hasil, verifikasi terlebih dahulu bahwa tugas telah selesai.
Setiap kali pemindaian berjalan, Perlindungan Data Sensitif menyimpan temuan pemindaian ke tabel BigQuery yang Anda tentukan. Temuan yang diekspor berisi detail tentang lokasi setiap temuan dan kemungkinan kecocokan.
Jika Anda ingin setiap temuan menyertakan string yang cocok dengan detektor infoType, aktifkan opsi Sertakan kutipan. Kutipan berpotensi sensitif, jadi Sensitive Data Protection tidak menyertakannya dalam temuan secara default.
Jika Anda tidak menentukan ID tabel, BigQuery akan menetapkan nama default ke tabel baru saat pemindaian dijalankan untuk pertama kalinya. Nama ini mirip dengan
dlpgoogleapisDATE_1234567890, dengan
DATE mewakili tanggal pemindaian dijalankan. Jika Anda menentukan
tabel yang sudah ada, Sensitive Data Protection akan menambahkan temuan pemindaian ke tabel tersebut.
Saat data ditulis ke tabel BigQuery, penggunaan penagihan dan kuota akan diterapkan ke project yang berisi tabel tujuan.
Menyimpan temuan ke Cloud Storage
Simpan hasil tugas Sensitive Data Protection ke bucket atau folder Cloud Storage yang sudah ada. Sebelum melihat atau menganalisis hasilnya, verifikasi terlebih dahulu bahwa tugas telah selesai.
Jika Anda memeriksa bucket Cloud Storage, bucket yang Anda tetapkan untuk hasil temuan yang diekspor tidak boleh berupa bucket yang Anda periksa.
Setiap kali pemindaian berjalan, Sensitive Data Protection menyimpan temuan pemindaian ke lokasi Cloud Storage yang Anda tentukan. Temuan yang diekspor berisi detail tentang lokasi setiap temuan dan kemungkinan kecocokan.
Jika Anda ingin setiap temuan menyertakan string yang cocok dengan detektor infoType, aktifkan opsi Sertakan kutipan. Kutipan berpotensi sensitif, jadi Sensitive Data Protection tidak menyertakannya dalam temuan secara default.
Temuan diekspor dalam format teks Protobuf sebagai objek
SaveToGcsFindingsOutput. Untuk mengetahui informasi tentang cara mengurai temuan dalam format ini, lihat Mengurai temuan yang disimpan sebagai teks Protobuf.
Publikasikan ke Pub/Sub
Publikasikan notifikasi yang berisi nama tugas Sensitive Data Protection sebagai atribut ke saluran Pub/Sub. Anda dapat menentukan satu atau beberapa topik untuk mengirim pesan notifikasi. Pastikan akun layanan Sensitive Data Protection yang menjalankan tugas pemindaian memiliki akses publikasi pada topik.
Jika ada masalah konfigurasi atau izin dengan topik Pub/Sub, Sensitive Data Protection akan mencoba lagi mengirim notifikasi Pub/Sub hingga dua minggu. Setelah dua minggu, notifikasi akan dihapus.
Publikasikan ke Security Command Center
Publikasikan ringkasan hasil tugas ke Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Mengirim hasil pemindaian Perlindungan Data Sensitif ke Security Command Center.
Untuk menggunakan tindakan ini, project Anda harus menjadi bagian dari organisasi, dan Security Command Center harus diaktifkan di tingkat organisasi. Jika tidak, temuan Sensitive Data Protection tidak akan muncul di Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Memeriksa tingkat aktivasi Security Command Center.
Publikasikan ke Data Catalog
Mengirim hasil tugas ke Data Catalog. Fitur ini sudah tidak digunakan lagi.
Beri tahu melalui email
Kirim email saat tugas selesai. Email akan dikirim ke pemilik project IAM dan Kontak Penting teknis.
Publikasikan ke Cloud Monitoring
Kirim hasil pemeriksaan ke Cloud Monitoring di Google Cloud Observability.
Membuat salinan yang tidak berisi informasi pribadi
Hilangkan identitas temuan apa pun dalam data yang diperiksa, dan tulis konten yang sudah dihilangkan identitasnya ke file baru. Kemudian, Anda dapat menggunakan salinan yang tidak berisi informasi pribadi dalam proses bisnis Anda, sebagai pengganti data yang berisi informasi sensitif. Untuk mengetahui informasi selengkapnya, lihat Membuat salinan data Cloud Storage yang telah di-de-identifikasi menggunakan Sensitive Data Protection di konsolGoogle Cloud .
Operasi yang didukung
Tabel berikut menunjukkan operasi Perlindungan Data Sensitif dan tempat setiap tindakan tersedia.
| Tindakan | Pemeriksaan BigQuery | Pemeriksaan Cloud Storage | Pemeriksaan Datastore | Pemeriksaan hybrid | Analisis risiko |
|---|---|---|---|---|---|
| Menyimpan temuan ke BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| Menyimpan temuan ke Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| Publikasikan ke Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publikasikan ke Security Command Center | ✓ | ✓ | ✓ | ||
| Publikasikan ke Data Catalog (Tidak digunakan lagi) | ✓ | ||||
| Beri tahu melalui email | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publikasikan ke Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| Melakukan de-identifikasi temuan | ✓ |
Menentukan tindakan
Anda dapat menentukan satu atau beberapa tindakan saat mengonfigurasi tugas:
- Saat membuat tugas analisis risiko atau inspeksi baru menggunakan Sensitive Data Protection di konsol Google Cloud , tentukan tindakan di bagian Tambahkan tindakan dalam alur kerja pembuatan tugas.
- Saat mengonfigurasi permintaan tugas baru untuk dikirim ke DLP API, tentukan tindakan dalam objek
Action.
Untuk mengetahui informasi selengkapnya dan kode contoh dalam beberapa bahasa, lihat:
- Membuat dan menjadwalkan tugas inspeksi
- Menghitung k-anonimitas untuk set data
- Menghitung l-diversity untuk set data
Contoh skenario tindakan
Anda dapat menggunakan tindakan Perlindungan Data Sensitif untuk mengotomatiskan proses berdasarkan hasil pemindaian Perlindungan Data Sensitif. Misalkan Anda memiliki tabel BigQuery yang dibagikan kepada partner eksternal. Anda ingin memastikan bahwa tabel ini tidak berisi ID sensitif seperti nomor Jaminan Sosial AS (infoType US_SOCIAL_SECURITY_NUMBER), dan jika Anda menemukannya, akses dicabut dari partner. Berikut adalah garis besar kasar alur kerja yang akan menggunakan tindakan:
- Buat pemicu tugas Perlindungan Data Sensitif untuk menjalankan pemindaian inspeksi tabel BigQuery setiap 24 jam.
- Tetapkan tindakan untuk tugas ini guna memublikasikan notifikasi Pub/Sub ke topik "projects/foo/scan_notifications".
- Buat Cloud Function yang memproses pesan masuk di "projects/foo/scan_notifications". Cloud Function ini akan menerima nama tugas Sensitive Data Protection setiap 24 jam, memanggil Sensitive Data Protection untuk mendapatkan hasil ringkasan dari tugas ini, dan, jika menemukan nomor Jaminan Sosial, Cloud Function ini dapat mengubah setelan di BigQuery atau Identity and Access Management (IAM) untuk membatasi akses ke tabel.
Langkah berikutnya
- Pelajari tindakan yang tersedia dengan tugas inspeksi.
- Pelajari tindakan yang tersedia dengan tugas analisis risiko.
- Pelajari tindakan yang tersedia dengan operasi penemuan data sensitif.