Un'azione di Sensitive Data Protection viene eseguita dopo il completamento di un'operazione o, nel caso di email, in caso di errore. Ad esempio, puoi salvare i risultati in una tabella BigQuery, pubblicare una notifica in un argomento Pub/Sub o inviare un'email quando un'operazione termina correttamente o si interrompe in caso di errore.
Azioni disponibili
Quando esegui un job di Sensitive Data Protection, un riepilogo dei relativi risultati viene salvato per impostazione predefinita in Sensitive Data Protection. Puoi visualizzare questo riepilogo utilizzando Sensitive Data Protection nella console Google Cloud. Per i job, puoi anche recuperare le informazioni di riepilogo nell'API DLP utilizzando il metodo projects.dlpJobs.get.
Sensitive Data Protection supporta diversi tipi di azioni a seconda del tipo di operazione eseguita. Di seguito sono riportate le azioni supportate.
Salva i risultati in BigQuery
Salva i risultati del job di Sensitive Data Protection in una tabella BigQuery. Prima di visualizzare o analizzare i risultati, assicurati che il job sia stato completato.
Ogni volta che viene eseguita una scansione, Sensitive Data Protection salva i risultati della scansione nella tabella BigQuery specificata. I risultati esportati contengono dettagli sulla posizione di ogni risultato e sulla probabilità di corrispondenza. Se vuoi che ogni risultato includa la stringa che corrisponde al rilevatore infoType, attiva l'opzione Includi citazione.
Se non specifichi un ID tabella, BigQuery assegna un nome predefinito a una nuova tabella la prima volta che viene eseguita la scansione. Se specifichi una tabella esistente, Sensitive Data Protection aggiunge i risultati dell'analisi.
Quando i dati vengono scritti in una tabella BigQuery, l'utilizzo delle quote e della fatturazione viene applicato al progetto che contiene la tabella di destinazione.
Se non salvi i risultati in BigQuery, i risultati della scansione contengono solo statistiche sul numero e sugli infoType dei risultati.
Pubblica in Pub/Sub
Pubblica una notifica che contiene il nome del job di protezione dei dati sensibili come attributo su un canale Pub/Sub. Puoi specificare uno o più argomenti a cui inviare il messaggio di notifica. Assicurati che l'account di servizio Sensitive Data Protection che esegue il job di scansione abbia accesso in pubblicazione all'argomento.
In caso di problemi di configurazione o di autorizzazione con l'argomento Pub/Sub, Sensitive Data Protection riprova a inviare la notifica Pub/Sub per un massimo di due settimane. Dopo due settimane, la notifica viene eliminata.
Pubblica su Security Command Center
Pubblica un riepilogo dei risultati del job in Security Command Center. Per ulteriori informazioni, consulta Inviare i risultati dell'analisi di Sensitive Data Protection a Security Command Center.
Pubblica in Dataplex
Invia i risultati del job a Dataplex, il servizio di gestione dei metadati di Google Cloud.
Notifica via email
Invia un'email al completamento del job. L'email va ai proprietari del progetto IAM e ai contatti necessari tecnici.
Pubblica su Cloud Monitoring
Invia i risultati dell'ispezione a Cloud Monitoring nella suite operativa di Google Cloud.
Crea una copia anonimizzata
Anonimizza eventuali risultati nei dati ispezionati e scrivi il contenuto anonimizzato in un nuovo file. Puoi quindi utilizzare la copia anonimizzata nei tuoi processi aziendali, al posto dei dati che contengono informazioni sensibili. Per ulteriori informazioni, consulta Creare una copia anonimizzata dei dati di Cloud Storage utilizzando Sensitive Data Protection nella console Google Cloud.
Operazioni supportate
La tabella seguente mostra le operazioni di Sensitive Data Protection e dove è disponibile ciascuna azione.
| Azione | Ispezione BigQuery | Ispezione di Cloud Storage | Ispezione del datastore | Ispezione ibrida | Analisi dei rischi | Scoperta (profilazione dei dati) |
|---|---|---|---|---|---|---|
| Pubblica su Chronicle | ✓ | |||||
| Salva i risultati in BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pubblica in Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pubblica su Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
| Pubblica in Dataplex (Data Catalog) | ✓ | ✓ | ||||
| Notifica via email | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Pubblica su Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
| Anonimizza i risultati | ✓ |
Specifica le azioni
Quando configuri una protezione dei dati sensibili, puoi specificare una o più azioni:
- Quando crei un nuovo job di ispezione o analisi del rischio utilizzando Sensitive Data Protection nella console Google Cloud, specifica le azioni nella sezione Aggiungi azioni del flusso di lavoro di creazione di job.
- Quando configuri una nuova richiesta di job da inviare all'API DLP, specifica le azioni nell'oggetto
Action.
Per ulteriori informazioni e per codice campione in diversi linguaggi, vedi:
- Creazione e pianificazione dei job di ispezione
- Calcolo di k-anonymity per un set di dati
- Calcolo di l-diversity per un set di dati
Esempio di azione
Puoi utilizzare le azioni di Sensitive Data Protection per automatizzare i processi in base ai risultati dell'analisi di Sensitive Data Protection. Supponi di avere una tabella BigQuery
condivisa con un partner esterno. Devi assicurarti che questa tabella
non contenga identificatori sensibili come i codici fiscali degli Stati Uniti
(l'infoType US_SOCIAL_SECURITY_NUMBER) e che, se noti, l'accesso venga revocato al partner. Ecco una descrizione approssimativa di un flusso di lavoro che dovrebbe utilizzare le azioni:
- Crea un trigger di job di Sensitive Data Protection per eseguire una scansione di ispezione della tabella BigQuery ogni 24 ore.
- Imposta l'azione di questi job per pubblicare una notifica Pub/Sub nell'argomento "projects/foo/scan_notifications".
- Crea una funzione Cloud Functions in ascolto dei messaggi in arrivo su "projects/foo/scan_notifications". Questa funzione Cloud Functions riceverà il nome del job di Sensitive Data Protection ogni 24 ore, chiama Sensitive Data Protection per ricevere un riepilogo dei risultati di questo job e, se trova un codice fiscale, può modificare le impostazioni in BigQuery o in IAM (Identity and Access Management) per limitare l'accesso alla tabella.
Passaggi successivi
- Scopri di più sulle azioni disponibili con i job di ispezione.
- Scopri di più sulle azioni disponibili con i job di analisi del rischio.