本文說明 Sensitive Data Protection 在執行檢查工作或風險分析後可採取的動作。
「動作」是指 Sensitive Data Protection 在完成檢查工作或風險分析後執行的工作。舉例來說,您可以將發現項目儲存到 BigQuery 表格、向 Pub/Sub 主題發布通知,或在作業順利完成或因錯誤停止時傳送電子郵件。
機密資料探索作業有一組不同的動作。如要進一步瞭解探索動作,請參閱「啟用探索動作」。
可執行的動作
執行 Sensitive Data Protection 工作時,系統預設會將結果摘要儲存在 Sensitive Data Protection 中。您可以使用 Google Cloud 控制台中的Sensitive Data Protection 查看這份摘要。您也可以使用 projects.dlpJobs.get 方法,在 DLP API 中擷取摘要資訊。
以下各節說明檢查和風險分析工作支援的操作。
將發現項目儲存至 BigQuery
將 Sensitive Data Protection 工作結果儲存至 BigQuery 資料表。您必須先確認工作已經完成,才能查看或分析結果。
每次執行掃描時,Sensitive Data Protection 都會將掃描結果儲存到您指定的 BigQuery 資料表。匯出的發現項目包含每個發現項目位置與相符可能性的詳細資料。
如要讓每項發現結果都包含與 infoType 偵測器相符的字串,請啟用「包含引號」選項。引文可能含有機密資訊,因此 Sensitive Data Protection 預設不會將引文納入調查結果。
如果您未指定表格 ID,BigQuery 會在首次執行掃描作業時,為新表格指派預設名稱。名稱與 dlpgoogleapisDATE_1234567890 類似,其中 DATE 代表掃描的執行日期。如果您指定現有的資料表,Sensitive Data Protection 會將掃描結果附加至該資料表。
將資料寫入 BigQuery 資料表時,費用與配額用量會計入目的地資料表所屬專案。
將發現項目儲存至 Cloud Storage
將 Sensitive Data Protection 工作結果儲存至現有的 Cloud Storage bucket 或資料夾。您必須先確認工作已經完成,才能查看或分析結果。
如要檢查 Cloud Storage bucket,您指定的匯出發現項目 bucket 不得為您要檢查的 bucket。
每次執行掃描時,機密資料保護功能都會將掃描結果儲存到您指定的 Cloud Storage 位置。匯出的發現項目包含每個發現項目位置與相符可能性的詳細資料。
如要讓每項發現結果都包含與 infoType 偵測器相符的字串,請啟用「包含引號」選項。引文可能含有機密資訊,因此 Sensitive Data Protection 預設不會將引文納入調查結果。
調查結果會以 Protobuf 文字格式匯出為 SaveToGcsFindingsOutput 物件。如要瞭解如何剖析此格式的調查結果,請參閱「剖析以 Protobuf 文字格式儲存的調查結果」。
發布至 Pub/Sub
將含有機密資料保護工作名稱的通知發布至 Pub/Sub 管道,做為屬性。您可以指定一或多個主題,將通知訊息傳送至這些主題。請確認執行掃描工作的 Sensitive Data Protection 服務帳戶具備主題的發布權限。
如果 Pub/Sub 主題有設定或權限問題,資訊保護服務最多會重試傳送 Pub/Sub 通知兩週。兩週後,系統會捨棄通知。
發布至 Security Command Center
將作業結果摘要發布至 Security Command Center。詳情請參閱「將 Sensitive Data Protection 掃描結果傳送至 Security Command Center」。
如要使用這項動作,專案必須屬於機構,且必須在機構層級啟用 Security Command Center。否則 Sensitive Data Protection 發現項目不會顯示在 Security Command Center。詳情請參閱「查看 Security Command Center 的啟用層級」。
發布到 Data Catalog
將工作結果傳送至 Data Catalog。這項功能已淘汰。
電子郵件通知
作業完成時傳送電子郵件。電子郵件會傳送給 IAM 專案擁有者和技術重要聯絡人。
發布至 Cloud Monitoring
將檢查結果傳送至 Google Cloud Observability 中的 Cloud Monitoring。
建立去識別化副本
將檢查資料中的所有發現項目去識別化,然後將去識別化的內容寫入新檔案。然後在業務程序中使用去識別化副本,取代含有私密資訊的資料。詳情請參閱使用Google Cloud 控制台中的 Sensitive Data Protection,建立 Cloud Storage 資料的去識別化副本。
支援的作業
下表列出 Sensitive Data Protection 作業,以及各項動作的適用位置。
| 動作 | BigQuery 檢查 | Cloud Storage 檢查 | 檢查 Datastore | 混合式檢查 | 風險分析 |
|---|---|---|---|---|---|
| 將發現項目儲存至 BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| 將發現項目儲存至 Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| 發布至 Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| 發布至 Security Command Center | ✓ | ✓ | ✓ | ||
| 發布到 Data Catalog (已淘汰) | ✓ | ||||
| 電子郵件通知 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 發布至 Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| 將發現項目去識別化 | ✓ |
指定動作
設定工作時,您可以指定一或多個動作:
- 使用 Google Cloud 控制台中的 Sensitive Data Protection 建立新的檢查或風險分析工作時,請在工作建立工作流程的「新增動作」部分指定動作。
- 設定要傳送至 DLP API 的新工作要求時,請在
Action物件中指定動作。
如需更多資訊和多種語言的程式碼範例,請參閱:
動作情境範例
您可以根據 Sensitive Data Protection 掃描結果,使用 Sensitive Data Protection 動作自動執行程序。假設您有一個與外部合作夥伴共用的 BigQuery 表格,並且想要確保這個資料表沒有包含美國社會安全號碼 (infoType US_SOCIAL_SECURITY_NUMBER) 等任何機密識別碼;而且如果發現任何這類機密資料,即撤銷合作夥伴的存取權。以下是會使用動作的工作流程概要:
- 建立 Sensitive Data Protection 工作觸發條件,每隔 24 小時針對 BigQuery 表格執行一次檢查掃描。
- 設定這些工作的動作,將 Pub/Sub 通知發布至「projects/foo/scan_notifications」主題。
- 建立 Cloud 函式,以接聽「projects/foo/scan_notifications」的傳入訊息。這個 Cloud 函式會每隔 24 小時接收一次 Sensitive Data Protection 工作的名稱,並呼叫 Sensitive Data Protection 以取得此工作的摘要結果。如果發現任何美國社會安全號碼,即會在 BigQuery 或 Identity and Access Management (IAM) 中變更設定來限制資料表的存取權。
後續步驟
- 瞭解檢查工作可執行的動作。
- 瞭解風險分析作業可執行的動作。
- 瞭解機密資料探索作業可執行的動作。