Job e trigger di job

Un job è un'azione eseguita da Sensitive Data Protection per analizzare i contenuti alla ricerca di dati sensibili o per calcolare il rischio di reidentificazione. Sensitive Data Protection crea ed esegue una risorsa di job ogni volta che richiedi di esaminare i tuoi dati.

Al momento esistono due tipi di job di Sensitive Data Protection:

• I job di ispezione rilevano la presenza di dati sensibili nei tuoi contenuti in base ai tuoi criteri e generano report di riepilogo su dove e su quale tipo di dati sensibili esistono.
• I job di analisi del rischio analizzano i dati anonimizzati e restituiscono metriche sulla probabilità che i dati possano essere reidentificati.

Puoi pianificare l'esecuzione dei job di Sensitive Data Protection creando trigger per i job. Un attivatore di job è un evento che automatizza la creazione di job Sensitive Data Protection per eseguire la scansione dei repository di archiviazione di Google Cloud, inclusi i bucket Cloud Storage, le tabelle BigQuery e i tipi di Datastore.

Gli attivatori dei job ti consentono di pianificare i job di scansione impostando gli intervalli di attivazione di ciascun attivatore. Possono essere configurati per cercare nuovi risultati dall'ultima esecuzione della scansione per monitorare le modifiche o le aggiunte ai contenuti o per generare report aggiornati sui risultati. Gli attivatori pianificati vengono eseguiti con un intervallo impostato da 1 a 60 giorni.

Passaggi successivi

Scopri di più su come creare, modificare ed eseguire job e trigger di job nei seguenti argomenti:

• Creazione di job di ispezione e attivatori di job di Sensitive Data Protection
• Misurazione del rischio di reidentificazione e divulgazione (copre i job di analisi del rischio).

Inoltre, è disponibile la seguente guida rapida:

• Guida rapida alla creazione di un attivatore di job Sensitive Data Protection

Oggetto JobTrigger

Un attivatore di job è rappresentato nell'API DLP dall'oggetto JobTrigger.

Campi di configurazione degli trigger dei job

Ogni JobTrigger contiene diversi campi di configurazione, tra cui:

• Il nome e il nome visualizzato dell'attivatore e una descrizione.
• Una raccolta di oggetti Trigger ciascuno dei quali contiene un oggetto Schedule che definisce la frequenza della scansione in secondi.
• Un oggetto InspectJobConfig che contiene le informazioni di configurazione per il job attivato.
• Un valore enumerato Status che indica se l'attivatore è attualmente attivo.
• Campi timestamp che rappresentano la creazione, l'aggiornamento e l'ultima esecuzione.
• Una raccolta di oggetti Error, se presenti, che sono stati rilevati quando è stato attivato l'attivatore.

Metodi di attivazione dei job

Ogni oggetto JobTrigger include anche diversi metodi integrati. Con questi metodi puoi:

• Crea un nuovo attivatore del job: projects.jobTriggers.create
• Aggiorna un attivatore di job esistente: projects.jobTriggers.patch
• Elimina un attivatore di job esistente: projects.jobTriggers.delete
• Recupera un attivatore di job esistente, inclusa la relativa configurazione e lo stato: projects.jobTriggers.get
• Elenca tutti gli attivatori di job esistenti: projects.jobTriggers.list

Latenza del job

Non sono garantiti obiettivi del livello di servizio (SLO) per i job e gli attivatori dei job. La latenza è influenzata da diversi fattori, tra cui la quantità di dati da eseguire la scansione, il repository di archiviazione sottoposto a scansione, il tipo e il numero di InfoType che stai cercando, la regione in cui viene elaborato il job e le risorse di calcolo disponibili in quella regione. Pertanto, la latenza dei job di ispezione non può essere determinata in anticipo.

Per contribuire a ridurre la latenza dei job, puoi provare a:

• Se il campionamento è disponibile per il tuo job o trigger di job, attivalo.

• Evita di attivare infoType non necessari. Sebbene i seguenti siano utili in determinati scenari, questi infoType possono far eseguire le richieste molto più lentamente rispetto a quelle che non li includono:

  • PERSON_NAME
  • FEMALE_NAME
  • MALE_NAME
  • FIRST_NAME
  • LAST_NAME
  • DATE_OF_BIRTH
  • LOCATION
  • STREET_ADDRESS
  • ORGANIZATION_NAME

• Specifica sempre gli infoType in modo esplicito. Non utilizzare un elenco infoTypes vuoto.

• Se possibile, utilizza una regione di elaborazione diversa.

Se dopo aver provato queste tecniche i problemi di latenza con i job persistono, considera la possibilità di utilizzare richieste content.inspect o content.deidentify invece di job. Questi metodi sono coperti dall'accordo sul livello del servizio. Per ulteriori informazioni, consulta l'Accordo sul livello del servizio di Sensitive Data Protection.

Limita le scansioni ai nuovi contenuti

Puoi configurare l'attivatore del job in modo che imposti automaticamente la data dell'intervallo di tempo per i file archiviati in Cloud Storage o BigQuery. Quando imposti l'oggetto TimespanConfig per il completamento automatico, Sensitive Data Protection esegue la scansione solo dei dati aggiunti o modificati dall'ultima esecuzione dell'attivatore:

...
  timespan_config {
        enable_auto_population_of_timespan_config: true
      }
...

Per l'ispezione di BigQuery, nell'analisi vengono incluse solo le righe risalenti ad almeno tre ore prima. Consulta il problema noto relativo a questa operazione.

Attivare i job al caricamento dei file

Oltre al supporto degli attivatori dei job, che è integrato in Sensitive Data Protection, Google Cloud offre anche una serie di altri componenti che puoi utilizzare per integrare o attivare i job di Sensitive Data Protection. Ad esempio, puoi utilizzare le funzioni Cloud Run per attivare una scansione di protezione dei dati sensibili ogni volta che un file viene caricato su Cloud Storage.

Per informazioni su come configurare questa operazione, consulta Automatizzare la classificazione dei dati caricati su Cloud Storage.