민감한 정보 보호 작업은 작업이 성공적으로 완료된 후 또는 이메일의 경우 오류 시에 발생하는 작업입니다. 예를 들어 결과를 BigQuery 테이블에 저장하거나, Pub/Sub 주제에 알림을 게시하거나, 작업이 성공적으로 완료되거나 오류로 중지되면 이메일을 보낼 수 있습니다.
가능한 작업
민감한 정보 보호 작업을 실행하면 기본적으로 발견 항목에 대한 요약이 민감한 정보 보호 내에 저장됩니다. Google Cloud 콘솔에서 민감한 정보 보호를 사용하여 이 요약을 볼 수 있습니다. 작업의 경우 projects.dlpJobs.get 메서드를 사용하여 DLP API에서 요약 정보를 검색할 수도 있습니다.
민감한 정보 보호는 실행 중인 작업 유형에 따라 다른 유형의 작업을 지원합니다. 지원되는 작업은 다음과 같습니다.
BigQuery에 발견 항목 저장
민감한 정보 보호 작업 결과를 BigQuery 테이블에 저장합니다. 결과를 보거나 분석하기 전에 먼저 작업이 완료되었는지 확인합니다.
스캔이 실행될 때마다 민감한 정보 보호는 스캔발견 항목을 지정된 BigQuery 테이블에 저장합니다. 내보낸 발견 항목에는 각 발견 항목의 위치와 일치 가능성에 대한 세부정보가 포함되어 있습니다. 각 발견 항목에 infoType 감지기와 일치하는 문자열을 포함하려면 인용 포함 옵션을 사용 설정하세요.
테이블 ID를 지정하지 않으면 스캔이 처음 실행될 때 BigQuery가 새 테이블에 기본 이름을 할당합니다. 기존 테이블을 지정하면 민감한 정보 보호에서 스캔 발견 항목을 테이블에 추가합니다.
데이터가 BigQuery 테이블에 기록되면 결제 및 할당량 사용량이 대상 테이블이 포함된 프로젝트에 적용됩니다.
BigQuery에 발견 항목을 저장하지 않으면 발견 항목의 개수 및 infoType에 대한 통계만 스캔 결과에 포함됩니다.
Pub/Sub에 게시
민감한 정보 보호 작업 이름이 속성으로 포함된 알림을 Pub/Sub 채널에 게시합니다. 알림 메시지를 전송할 주제를 하나 이상 지정할 수 있습니다. 스캔 작업을 실행하는 민감한 정보 보호 서비스 계정에 주제에 대한 게시 액세스 권한이 있는지 확인합니다.
Pub/Sub 주제에 구성 문제나 권한 문제가 있으면 민감한 정보 보호에서 최대 2주 동안 Pub/Sub 알림 전송을 재시도합니다. 2주 후에 알림이 삭제됩니다.
Security Command Center에 게시
Security Command Center에 작업 결과 요약을 게시합니다. 자세한 내용은 Security Command Center로 민감한 정보 보호 스캔 결과 전송을 참조하세요.
Dataplex에 게시
작업 결과를 Google Cloud의 메타데이터 관리 서비스인 Dataplex로 보냅니다.
이메일로 알림
작업이 완료되면 이메일을 전송합니다. 이메일은 IAM 프로젝트 소유자 및 기술 필수 연락처로 전송됩니다.
Cloud Monitoring에 게시
Google Cloud 운영 제품군의 Cloud Monitoring에 검사 결과를 전송합니다.
익명화된 사본 만들기
검사된 데이터의 발견 항목을 익명화하고 익명화된 콘텐츠를 새 파일에 작성하세요. 그러면 비즈니스 프로세스에서 민감한 정보가 포함된 데이터 대신 익명화된 사본을 사용할 수 있습니다. 자세한 내용은 Google Cloud 콘솔에서 민감한 정보 보호를 사용하여 Cloud Storage 데이터의 익명화된 사본 만들기를 참조하세요.
지원되는 작업
다음 표는 민감한 정보 보호 작업과 각 작업을 사용할 수 있는 위치를 보여줍니다.
| 작업 | BigQuery 검사 | Cloud Storage 검사 | Datastore 검사 | 하이브리드 검사 | 위험 분석 | 탐색(데이터 프로파일링) |
|---|---|---|---|---|---|---|
| Chronicle에 게시 | ✓ | |||||
| BigQuery에 발견 항목 저장 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pub/Sub에 게시 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Security Command Center에 게시 | ✓ | ✓ | ✓ | ✓ | ||
| Dataplex에 게시(Data Catalog) | ✓ | ✓ | ||||
| 이메일로 알림 | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Cloud Monitoring에 게시 | ✓ | ✓ | ✓ | ✓ | ||
| 발견 항목 익명화 | ✓ |
작업 지정
민감한 정보 보호를 구성할 때 하나 이상의 작업을 지정할 수 있습니다.
- Google Cloud 콘솔에서 민감한 정보 보호를 사용하여 새 검사 또는 위험 분석 작업을 만드는 경우 작업 생성 워크플로의 작업 추가 섹션에 작업을 지정합니다.
- DLP API로 전송할 새 작업 요청을 구성할 때는
Action객체에 작업을 지정합니다.
자세한 내용과 여러 언어의 샘플 코드를 보려면 다음을 참조하세요.
액션 시나리오 예
민감한 정보 보호 작업을 사용하여 민감한 정보 보호 스캔 결과를 기반으로 프로세스를 자동화할 수 있습니다. 외부 파트너와 공유한 BigQuery 테이블이 있다고 가정해 보겠습니다. 이 테이블에 미국 사회보장번호(infoType US_SOCIAL_SECURITY_NUMBER)와 같은 민감한 식별자가 포함되지 않았으며, 그러한 정보를 발견하는 경우 파트너의 액세스 권한이 취소되도록 하려고 합니다. 액션을 사용하는 대략적인 워크플로는 다음과 같습니다.
- 민감한 정보 보호 작업 트리거를 만들어 24시간마다 BigQuery 테이블 검사 스캔을 실행합니다.
- 'projects/foo/scan_notifications' 주제에 Pub/Sub 알림을 게시하도록 이러한 작업의 액션을 설정합니다.
- 'projects/foo/scan_notifications'에서 받은 메시지를 리슨하는 Cloud 함수를 만듭니다. 이 Cloud 함수는 24시간마다 민감한 정보 보호 작업의 이름을 수신하고 민감한 정보 보호를 호출하여 이 작업의 요약 결과를 가져옵니다. 그리고 주민등록번호를 찾은 경우 BigQuery 또는 Identity and Access Management(IAM)에서 설정을 변경하여 테이블에 대한 액세스를 제한할 수 있습니다.
다음 단계
- 검사 작업에서 사용 가능한 작업 알아보기
- 위험 분석 작업에서 사용 가능한 작업 알아보기