Questo documento descrive le azioni che Sensitive Data Protection può eseguire dopo aver eseguito un job di ispezione o un'analisi del rischio.
Un'azione è un'attività che Sensitive Data Protection esegue dopo aver completato un job di ispezione o un'analisi del rischio. Ad esempio, puoi salvare i risultati in una tabella BigQuery, pubblicare una notifica in un argomento Pub/Sub o inviare un'email quando un'operazione termina correttamente o si interrompe a causa di un errore.
Le operazioni di rilevamento di dati sensibili hanno un insieme diverso di azioni. Per ulteriori informazioni sulle azioni di rilevamento, vedi Attivare le azioni di rilevamento.
Azioni disponibili
Quando esegui un job di Sensitive Data Protection, un riepilogo dei risultati viene salvato per impostazione predefinita all'interno di Sensitive Data Protection. Puoi visualizzare questo riepilogo utilizzando
Sensitive Data Protection nella console Google Cloud . Puoi
anche recuperare le informazioni di riepilogo nell'API DLP utilizzando il metodo
projects.dlpJobs.get.
Le seguenti sezioni descrivono le azioni disponibili per i job di ispezione e analisi del rischio.
Salva i risultati in BigQuery
Salva i risultati del job Sensitive Data Protection in una tabella BigQuery. Prima di visualizzare o analizzare i risultati, verifica che il job sia stato completato.
Ogni volta che viene eseguita una scansione, Sensitive Data Protection salva i risultati della scansione nella tabella BigQuery specificata. I risultati esportati contengono dettagli sulla posizione e sulla probabilità di corrispondenza di ogni risultato.
Se vuoi che ogni risultato includa la stringa che corrisponde al rilevatore di infoType, attiva l'opzione Includi citazione. Le citazioni sono potenzialmente sensibili, quindi Sensitive Data Protection non le include nei risultati per impostazione predefinita.
Se non specifichi un ID tabella,
BigQuery assegna un nome predefinito a una nuova tabella la prima volta
che viene eseguita la scansione. Il nome è simile a
dlpgoogleapisDATE_1234567890, dove
DATE rappresenta la data di esecuzione della scansione. Se specifichi
una tabella esistente, Sensitive Data Protection aggiunge i risultati della scansione.
Quando i dati vengono scritti in una tabella BigQuery, la fatturazione e l'utilizzo delle quote vengono applicati al progetto che contiene la tabella di destinazione.
Salva i risultati in Cloud Storage
Salva i risultati del job Sensitive Data Protection in un bucket o una cartella Cloud Storage esistente. Prima di visualizzare o analizzare i risultati, verifica che il job sia stato completato.
Se stai analizzando un bucket Cloud Storage, il bucket che designi per i risultati esportati non deve essere quello che stai analizzando.
Ogni volta che viene eseguita una scansione, Sensitive Data Protection salva i risultati della scansione nella posizione Cloud Storage specificata. I risultati esportati contengono dettagli sulla posizione e sulla probabilità di corrispondenza di ogni risultato.
Se vuoi che ogni risultato includa la stringa che corrisponde al rilevatore infoType, attiva l'opzione Includi citazione. Le citazioni sono potenzialmente sensibili, quindi Sensitive Data Protection non le include nei risultati per impostazione predefinita.
I risultati vengono esportati in formato di testo Protobuf come oggetto
SaveToGcsFindingsOutput. Per informazioni su come analizzare i risultati in questo formato, consulta Analizzare i risultati archiviati come testo Protobuf.
Pubblica in Pub/Sub
Pubblica una notifica che contiene il nome del job Sensitive Data Protection come attributo di un canale Pub/Sub. Puoi specificare uno o più argomenti a cui inviare il messaggio di notifica. Assicurati che l'account di servizio Sensitive Data Protection che esegue il job di scansione abbia accesso in pubblicazione all'argomento.
Se si verificano problemi di configurazione o autorizzazione con l'argomento Pub/Sub, Sensitive Data Protection ritenta l'invio della notifica Pub/Sub per un massimo di due settimane. Dopo due settimane, la notifica viene eliminata.
Pubblica su Security Command Center
Pubblica un riepilogo dei risultati del job in Security Command Center. Per ulteriori informazioni, vedi Inviare i risultati della scansione di Sensitive Data Protection a Security Command Center.
Per utilizzare questa azione, il tuo progetto deve appartenere a un'organizzazione e Security Command Center deve essere attivato a livello di organizzazione. In caso contrario, i risultati di Sensitive Data Protection non verranno visualizzati in Security Command Center. Per maggiori informazioni, vedi Controllare il livello di attivazione di Security Command Center.
Pubblica in Data Catalog
Invia i risultati del job a Data Catalog. Questa funzionalità è ritirata.
Notifica via email
Invia un'email al termine del job. L'email viene inviata ai proprietari del progetto IAM e ai contatti tecnici fondamentali.
Pubblica su Cloud Monitoring
Invia i risultati dell'ispezione a Cloud Monitoring in Google Cloud Observability.
Crea una copia anonimizzata
Anonimizza tutti i risultati nei dati esaminati e scrivi i contenuti anonimizzati in un nuovo file. Puoi quindi utilizzare la copia anonimizzata nei tuoi processi aziendali, al posto dei dati che contengono informazioni sensibili. Per ulteriori informazioni, vedi Creare una copia anonimizzata dei dati di Cloud Storage utilizzando Sensitive Data Protection nella consoleGoogle Cloud .
Operazioni supportate
La tabella seguente mostra le operazioni di Sensitive Data Protection e dove è disponibile ogni azione.
| Azione | Ispezione di BigQuery | Ispezione di Cloud Storage | Ispezione del datastore | Ispezione ibrida | Analisi del rischio |
|---|---|---|---|---|---|
| Salva i risultati in BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| Salva i risultati in Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| Pubblica in Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pubblica su Security Command Center | ✓ | ✓ | ✓ | ||
| Pubblica in Data Catalog (ritirato) | ✓ | ||||
| Notifica via email | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pubblica su Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| Anonimizza i risultati | ✓ |
Specifica le azioni
Quando configuri un job, puoi specificare una o più azioni:
- Quando crei un nuovo job di ispezione o analisi del rischio utilizzando Sensitive Data Protection nella console Google Cloud , specifica le azioni nella sezione Aggiungi azioni del flusso di lavoro di creazione del job.
- Quando configuri una nuova richiesta di job da inviare all'API DLP, specifica le azioni nell'oggetto
Action.
Per ulteriori informazioni ed codice campione in diverse lingue, consulta:
- Creazione e pianificazione dei job di ispezione
- Calcolo di k-anonymity per un set di dati
- Calcolo di l-diversity per un set di dati
Scenario di esempio di azione
Puoi utilizzare le azioni di Sensitive Data Protection per automatizzare i processi in base ai risultati dell'analisi di Sensitive Data Protection. Supponiamo di avere una tabella BigQuery
condivisa con un partner esterno. Vuoi assicurarti che questa tabella
non contenga identificatori sensibili come i numeri di previdenza sociale statunitensi
(l'infoType US_SOCIAL_SECURITY_NUMBER)
e che, se ne trovi, l'accesso venga revocato al partner. Ecco una bozza
di un workflow che utilizzerebbe le azioni:
- Crea un trigger del job Sensitive Data Protection per eseguire una scansione di ispezione della tabella BigQuery ogni 24 ore.
- Imposta l'azione di questi job in modo che pubblichino una notifica Pub/Sub nell'argomento "projects/foo/scan_notifications".
- Crea una funzione Cloud Functions che rimane in ascolto dei messaggi in arrivo su "projects/foo/scan_notifications". Questa funzione Cloud riceverà il nome del job di protezione dei dati sensibili ogni 24 ore, chiamerà la protezione dei dati sensibili per ottenere i risultati riepilogativi di questo job e, se trova numeri di previdenza sociale, potrà modificare le impostazioni in BigQuery o Identity and Access Management (IAM) per limitare l'accesso alla tabella.
Passaggi successivi
- Scopri di più sulle azioni disponibili con i job di ispezione.
- Scopri di più sulle azioni disponibili con i job di analisi dei rischi.
- Scopri di più sulle azioni disponibili con le operazioni di rilevamento dei dati sensibili.