Halaman ini menjelaskan layanan penemuan data sensitif. Layanan ini membantu Anda menentukan lokasi data sensitif dan berisiko tinggi di organisasi Anda.
Ringkasan
Layanan penemuan memungkinkan Anda melindungi data di seluruh organisasi dengan mengidentifikasi lokasi data sensitif dan berisiko tinggi. Saat Anda membuat konfigurasi pemindaian penemuan, Perlindungan Data Sensitif akan memindai resource Anda untuk mengidentifikasi data dalam cakupan pembuatan profil. Kemudian, alat ini akan membuat profil data Anda. Selama konfigurasi penemuan aktif, Perlindungan Data Sensitif akan otomatis membuat profil data yang Anda tambahkan dan ubah. Anda dapat membuat profil data di seluruh organisasi, folder individual, dan project individual.
Setiap profil data adalah kumpulan insight dan metadata yang dikumpulkan layanan penemuan dari pemindaian resource yang didukung. Insight mencakup infoTypes yang diprediksi dan tingkat sensitivitas dan risiko data yang dihitung dari data Anda. Gunakan insight ini untuk membuat keputusan yang tepat tentang cara Anda melindungi, membagikan, dan menggunakan data Anda.
Profil data dibuat pada berbagai tingkat detail. Misalnya, saat Anda membuat profil data BigQuery, profil akan dibuat di tingkat project, tabel, dan kolom.
Gambar berikut menampilkan daftar profil data tingkat kolom. Klik gambar untuk memperbesarnya.
Untuk mengetahui daftar insight dan metadata yang disertakan dalam setiap profil data, lihat Referensi metrik.
Untuk mengetahui informasi selengkapnya tentang hierarki resource Google Cloud, lihat Hierarki resource.
Pembuatan profil data
Untuk mulai membuat profil data, Anda membuat konfigurasi pemindaian penemuan (juga disebut konfigurasi profil data). Konfigurasi pemindaian ini adalah tempat Anda menetapkan cakupan operasi penemuan dan jenis data yang ingin Anda buat profilnya. Dalam konfigurasi pemindaian, Anda dapat menetapkan filter untuk menentukan subset data yang ingin dibuat profilnya atau dilewati. Anda juga dapat menetapkan jadwal pembuatan profil.
Saat membuat konfigurasi pemindaian, Anda juga menetapkan template inspeksi yang akan digunakan. Template pemeriksaan adalah tempat Anda menentukan jenis data sensitif (juga disebut infoTypes) yang harus dipindai oleh Perlindungan Data Sensitif.
Saat membuat profil data, Sensitive Data Protection akan menganalisis data Anda berdasarkan konfigurasi pemindaian dan template pemeriksaan.
Perlindungan Data Sensitif membuat ulang profil data seperti yang dijelaskan dalam Frekuensi pembuatan profil data. Anda dapat menyesuaikan frekuensi pembuatan profil di konfigurasi pemindaian dengan membuat jadwal. Untuk memaksa layanan penemuan membuat profil ulang data Anda, lihat Memaksa operasi pembuatan profil ulang.
Jenis penemuan
Bagian ini menjelaskan jenis operasi penemuan yang dapat Anda lakukan dan resource data yang didukung.
Discovery untuk BigQuery dan BigLake
Saat Anda membuat profil data BigQuery, profil data akan dibuat di tingkat project, tabel, dan kolom. Setelah membuat profil tabel BigQuery, Anda dapat menyelidiki lebih lanjut penemuan dengan melakukan pemeriksaan mendalam.
Tabel profil Perlindungan Data Sensitif yang didukung oleh BigQuery Storage Read API, termasuk hal berikut:
- Tabel BigQuery standar
- Snapshot tabel
- Tabel BigLake yang disimpan di Cloud Storage
Berikut ini tidak didukung:
- Tabel BigQuery Omni.
- Tabel dengan ukuran data serial dari setiap baris melebihi ukuran data serial maksimum yang didukung BigQuery Storage Read API—128 MB.
- Tabel eksternal non-BigLake, seperti Google Spreadsheet.
Untuk informasi tentang cara membuat profil data BigQuery, lihat artikel berikut:
- Membuat profil data BigQuery dalam satu project
- Membuat profil data BigQuery di organisasi atau folder
Untuk mengetahui informasi selengkapnya tentang BigQuery, lihat dokumentasi BigQuery.
Penemuan untuk Cloud SQL
Saat Anda membuat profil data Cloud SQL, profil data akan dibuat di tingkat project, tabel, dan kolom. Sebelum penemuan dapat dimulai, Anda harus memberikan detail koneksi untuk setiap instance Cloud SQL yang akan dibuat profilnya.
Untuk informasi tentang cara membuat profil data Cloud SQL, lihat artikel berikut:
- Membuat profil data Cloud SQL dalam satu project
- Membuat profil data Cloud SQL di organisasi atau folder
Untuk informasi selengkapnya tentang Cloud SQL, lihat dokumentasi Cloud SQL.
Penemuan untuk Cloud Storage
Saat Anda membuat profil data Cloud Storage, profil data akan dibuat di tingkat bucket. Perlindungan Data Sensitif mengelompokkan file yang terdeteksi ke dalam cluster file dan memberikan ringkasan untuk setiap cluster.
Untuk mengetahui informasi tentang cara membuat profil data Cloud Storage, lihat artikel berikut:
- Membuat profil data Cloud Storage dalam satu project
- Membuat profil data Cloud Storage di organisasi atau folder
Untuk mengetahui informasi selengkapnya tentang Cloud Storage, lihat dokumentasi Cloud Storage.
Discovery untuk Vertex AI
Saat Anda membuat profil set data Vertex AI, Perlindungan Data Sensitif akan membuat profil data penyimpanan file atau profil data tabel, bergantung pada tempat data pelatihan Anda disimpan: Cloud Storage atau BigQuery.
Untuk informasi selengkapnya, lihat referensi berikut:
- Penemuan data sensitif untuk Vertex AI
- Membuat profil data Vertex AI dalam satu project
- Membuat profil data Vertex AI di organisasi atau folder
Untuk mengetahui informasi selengkapnya tentang Vertex AI, lihat dokumentasi Vertex AI.
Penemuan untuk Amazon S3
Saat Anda membuat profil data S3, profil data akan dibuat di tingkat bucket. Perlindungan Data Sensitif mengelompokkan file yang terdeteksi ke dalam cluster file dan memberikan ringkasan untuk setiap cluster.
Untuk mengetahui informasi selengkapnya, lihat Penemuan data sensitif untuk data Amazon S3.
Variabel lingkungan Cloud Run
Layanan penemuan dapat mendeteksi keberadaan secret di fungsi Cloud Run dan variabel lingkungan revisi layanan Cloud Run, dan mengirimkan temuan apa pun ke Security Command Center. Tidak ada profil data yang dihasilkan.
Untuk mengetahui informasi selengkapnya, lihat Melaporkan secret dalam variabel lingkungan ke Security Command Center.
Peran yang diperlukan untuk mengonfigurasi dan melihat profil data
Bagian berikut mencantumkan peran pengguna yang diperlukan, yang dikategorikan menurut tujuannya. Bergantung pada cara organisasi Anda disiapkan, Anda dapat memutuskan untuk meminta orang yang berbeda untuk melakukan tugas yang berbeda. Misalnya, orang yang mengonfigurasi profil data mungkin berbeda dengan orang yang memantaunya secara rutin.
Peran yang diperlukan untuk menggunakan profil data di tingkat organisasi atau folder
Peran ini memungkinkan Anda mengonfigurasi dan melihat profil data di tingkat organisasi atau folder.
Pastikan peran ini diberikan kepada orang yang tepat di tingkat organisasi. Atau, administrator Google Cloud Anda dapat membuat peran khusus yang hanya memiliki izin yang relevan.
Tujuan | Peran bawaan | Izin yang relevan |
---|---|---|
Membuat konfigurasi pemindaian penemuan dan melihat profil data | DLP Administrator (roles/dlp.admin )
|
|
Buat project yang akan digunakan sebagai penampung agen layanan1 | Project Creator (roles/resourcemanager.projectCreator ) |
|
Memberikan akses penemuan2 | Salah satu dari berikut ini:
|
|
Melihat profil data (hanya baca) | DLP Data Profiles Reader (roles/dlp.dataProfilesReader ) |
|
DLP Reader (roles/dlp.reader ) |
|
1 Jika tidak memiliki peran Project
Creator (roles/resourcemanager.projectCreator
), Anda masih dapat membuat konfigurasi
pemindaian, tetapi penampung agen
layanan yang Anda gunakan harus berupa project yang ada.
2 Jika tidak memiliki peran Administrator Organisasi (roles/resourcemanager.organizationAdmin
) atau Admin Keamanan (roles/iam.securityAdmin
), Anda tetap dapat membuat konfigurasi pemindaian. Setelah Anda
membuat konfigurasi pemindaian, seseorang di organisasi Anda yang memiliki salah satu peran ini harus memberikan akses penemuan ke
agen layanan.
Peran yang diperlukan untuk menggunakan profil data di tingkat project
Peran ini memungkinkan Anda mengonfigurasi dan melihat profil data di tingkat project.
Pastikan peran ini diberikan kepada orang yang tepat di level project. Atau, administrator Google Cloud Anda dapat membuat peran khusus yang hanya memiliki izin yang relevan.
Tujuan | Peran bawaan | Izin yang relevan |
---|---|---|
Mengonfigurasi dan melihat profil data | DLP Administrator (roles/dlp.admin )
|
|
Melihat profil data (hanya baca) | DLP Data Profiles Reader (roles/dlp.dataProfilesReader ) |
|
DLP Reader (roles/dlp.reader ) |
|
Konfigurasi pemindaian penemuan
Konfigurasi pemindaian penemuan (terkadang disebut konfigurasi penemuan atau konfigurasi pemindaian) menentukan cara Perlindungan Data Sensitif membuat profil data Anda. Setelan ini mencakup setelan berikut:
- Cakupan (organisasi, folder, atau project) operasi penemuan
- Jenis resource yang akan dibuat profilnya
- Template pemeriksaan yang akan digunakan
- Frekuensi pindai
- Subkumpulan data tertentu yang harus disertakan dalam atau dikecualikan dari penemuan
- Tindakan yang ingin Anda lakukan dengan Perlindungan Data Sensitif setelah penemuan—misalnya, layanan Google Cloud mana yang akan memublikasikan profil
- Agen layanan yang akan digunakan untuk operasi penemuan
Untuk informasi tentang cara membuat konfigurasi pemindaian penemuan, lihat halaman berikut:
Discovery untuk data BigQuery
Penemuan untuk data Cloud SQL
Penemuan untuk data Cloud Storage
Penemuan untuk data Vertex AI (Pratinjau)
Melaporkan secret dalam variabel lingkungan Cloud Run ke Security Command Center (tidak ada profil yang dihasilkan)
Cakupan konfigurasi pemindaian
Anda dapat membuat konfigurasi pemindaian pada tingkat berikut:
- Organisasi
- Folder
- Project
- Satu resource data
Di tingkat organisasi dan folder, jika dua atau beberapa konfigurasi pemindaian aktif memiliki project yang sama dalam cakupannya, Perlindungan Data Sensitif akan menentukan konfigurasi pemindaian mana yang dapat membuat profil untuk project tersebut. Untuk informasi selengkapnya, lihat Mengganti konfigurasi pemindaian di halaman ini.
Konfigurasi pemindaian tingkat project selalu dapat membuat profil project target dan tidak bersaing dengan konfigurasi lain di tingkat folder induk atau organisasi.
Konfigurasi pemindaian satu resource dimaksudkan untuk membantu Anda menjelajahi dan menguji pembuatan profil di satu resource data.
Memindai lokasi konfigurasi
Saat pertama kali membuat konfigurasi pemindaian, Anda menentukan tempat Anda ingin Perlindungan Data Sensitif menyimpannya. Semua konfigurasi pemindaian berikutnya yang Anda buat disimpan di region yang sama.
Misalnya, jika Anda membuat konfigurasi pemindaian untuk Folder A dan menyimpannya di
region us-west1
, konfigurasi pemindaian apa pun yang nantinya Anda buat untuk
resource lain juga akan disimpan di region tersebut.
Metadata tentang data yang akan dibuat profilnya disalin ke region yang sama dengan konfigurasi pemindaian Anda, tetapi data itu sendiri tidak dipindahkan atau disalin. Untuk informasi selengkapnya, lihat Pertimbangan residensi data.
Template inspeksi
Template pemeriksaan menentukan jenis informasi (atau infoType) yang dicari Perlindungan Data Sensitif saat memindai data Anda. Di sini, Anda memberikan kombinasi infoType bawaan dan infoType kustom opsional.
Anda juga dapat memberikan tingkat kemungkinan untuk mempersempit data yang dianggap oleh Perlindungan Data Sensitif sebagai kecocokan. Anda dapat menambahkan kumpulan aturan untuk mengecualikan temuan yang tidak diinginkan atau menyertakan temuan tambahan.
Secara default, jika Anda mengubah template pemeriksaan yang digunakan konfigurasi pemindaian, perubahan tersebut hanya diterapkan ke pemindaian mendatang. Tindakan Anda tidak menyebabkan operasi pembuatan ulang profil pada data Anda.
Jika Anda ingin perubahan template pemeriksaan memicu operasi pembuatan profil ulang pada data yang terpengaruh, tambahkan atau perbarui jadwal dalam konfigurasi pemindaian, dan aktifkan opsi untuk membuat profil ulang data saat template pemeriksaan berubah. Untuk mengetahui informasi selengkapnya, lihat Frekuensi pembuatan profil data.
Anda harus memiliki template inspeksi di setiap region tempat Anda memiliki data yang akan dibuat profilnya. Jika ingin menggunakan satu template untuk beberapa region, Anda dapat menggunakan template yang disimpan di region global
. Jika kebijakan organisasi mencegah Anda membuat template inspeksi di region global
, Anda harus menetapkan template inspeksi khusus untuk setiap region. Untuk informasi
selengkapnya, lihat Pertimbangan
residensi data.
Template pemeriksaan adalah komponen inti dari platform Perlindungan Data Sensitif. Profil data menggunakan template pemeriksaan yang sama dengan yang dapat Anda gunakan di semua layanan Perlindungan Data Sensitif. Untuk mengetahui informasi selengkapnya tentang template inspeksi, lihat Template.
Penampung agen layanan dan agen layanan
Saat membuat konfigurasi pemindaian untuk organisasi atau folder, Perlindungan Data Sensitif memerlukan Anda untuk menyediakan penampung agen layanan. Penampung agen layanan adalah project Google Cloud yang digunakan Sensitive Data Protection untuk melacak tagihan yang ditagih terkait operasi pembuatan profil tingkat organisasi dan folder.
Penampung agen layanan berisi agen layanan, yang digunakan Perlindungan Data Sensitif untuk membuat profil data atas nama Anda. Anda memerlukan agen layanan untuk mengautentikasi ke Perlindungan Data Sensitif dan API lainnya. Agen layanan Anda harus memiliki semua izin yang diperlukan untuk mengakses dan membuat profil data Anda. ID agen layanan memiliki format berikut:
service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com
Di sini, PROJECT_NUMBER adalah ID numerik penampung agen layanan.
Saat menetapkan penampung agen layanan, Anda dapat memilih project yang ada. Jika project yang Anda pilih berisi agen layanan, Perlindungan Data Sensitif akan memberikan izin IAM yang diperlukan kepada agen layanan tersebut. Jika project tidak memiliki agen layanan, Perlindungan Data Sensitif akan membuatnya dan otomatis memberikan izin pembuatan profil data kepadanya.
Atau, Anda dapat memilih agar Perlindungan Data Sensitif membuat penampung agen layanan dan agen layanan secara otomatis. Perlindungan Data Sensitif secara otomatis memberikan izin pembuatan profil data kepada agen layanan.
Dalam kedua kasus tersebut, jika Sensitive Data Protection gagal memberikan akses pembuatan profil data ke agen layanan Anda, Sensitive Data Protection akan menampilkan error saat Anda melihat detail konfigurasi pemindaian.
Untuk konfigurasi pemindaian level project, Anda tidak memerlukan penampung agen layanan. Project yang Anda buat profilnya memenuhi tujuan penampung agen layanan. Untuk menjalankan operasi pembuatan profil, Sensitive Data Protection menggunakan agen layanan project tersebut.
Akses pembuatan profil data di tingkat organisasi atau folder
Saat Anda mengonfigurasi pembuatan profil di tingkat organisasi atau folder, Sensitive Data Protection akan mencoba secara otomatis memberikan akses pembuatan profil data ke agen layanan Anda. Namun, jika Anda tidak memiliki izin untuk memberikan peran IAM, Perlindungan Data Sensitif tidak dapat melakukan tindakan ini atas nama Anda. Seseorang yang memiliki izin tersebut di organisasi Anda, seperti administrator Google Cloud, harus memberikan akses pembuatan profil data kepada agen layanan Anda.
Frekuensi pembuatan profil data
Setelah Anda membuat konfigurasi pemindaian penemuan untuk resource tertentu, Perlindungan Data Sensitif akan melakukan pemindaian awal, membuat profil data dalam cakupan konfigurasi pemindaian Anda.
Setelah pemindaian awal, Sensitive Data Protection terus memantau resource yang dibuat profilnya. Data yang ditambahkan dalam resource akan otomatis dibuat profilnya tidak lama setelah ditambahkan.
Frekuensi pembuatan profil ulang default
Frekuensi pembuatan profil ulang default berbeda-beda, bergantung pada jenis penemuan konfigurasi pemindaian Anda:
- Pembuatan profil BigQuery: untuk setiap tabel, tunggu 30 hari, lalu buat ulang profil tabel jika ada perubahan pada skema, baris tabel, atau template pemeriksaan.
- Pembuatan profil Cloud SQL: untuk setiap tabel, tunggu 30 hari, lalu buat ulang profil tabel jika ada perubahan pada skema atau template pemeriksaan.
- Membuat profil Cloud Storage: untuk setiap bucket, tunggu 30 hari, lalu buat ulang profil bucket jika template pemeriksaan mengalami perubahan.
- Membuat profil Vertex AI: untuk setiap set data, tunggu 30 hari, lalu buat ulang profil set data jika template pemeriksaan mengalami perubahan.
- Membuat profil Amazon S3: untuk setiap bucket, tunggu 30 hari, lalu buat ulang profil bucket jika template inspeksi mengalami perubahan.
Menyesuaikan frekuensi pembuatan profil ulang
Dalam konfigurasi pemindaian, Anda dapat menyesuaikan frekuensi pembuatan profil ulang dengan membuat satu atau beberapa jadwal untuk berbagai subkumpulan data Anda.
Frekuensi pembuatan profil ulang berikut tersedia:
- Jangan buat ulang profil: Jangan pernah membuat ulang profil setelah profil awal dibuat.
- Buat ulang profil setiap hari: Tunggu 24 jam sebelum membuat ulang profil.
- Buat ulang profil setiap minggu: Tunggu 7 hari sebelum membuat ulang profil.
- Buat ulang profil setiap bulan: Tunggu 30 hari sebelum membuat ulang profil.
Membuat ulang profil sesuai jadwal
Dalam konfigurasi pemindaian, Anda dapat menentukan apakah sebagian data harus dibuat ulang profilnya secara rutin, terlepas dari apakah data tersebut mengalami perubahan. Frekuensi yang Anda tetapkan menentukan jumlah waktu yang harus berlalu di antara operasi pembuatan profil. Misalnya, jika Anda menetapkan frekuensi ke mingguan, Perlindungan Data Sensitif akan membuat profil resource data tujuh hari setelah profil terakhir dibuat.
Membuat ulang profil saat update
Dalam konfigurasi pemindaian, Anda dapat menentukan peristiwa yang dapat memicu operasi pembuatan profil ulang. Contoh peristiwa tersebut adalah pembaruan template inspeksi.
Saat Anda memilih peristiwa ini, jadwal yang Anda tetapkan menentukan waktu terpanjang yang diperlukan Perlindungan Data Sensitif untuk menunggu update terakumulasi sebelum membuat profil ulang data Anda. Jika tidak ada perubahan yang berlaku—seperti perubahan skema atau perubahan template pemeriksaan—yang terjadi dalam jangka waktu yang Anda tentukan, tidak ada data yang diprofilkan ulang. Saat perubahan berikutnya yang berlaku terjadi, data yang terpengaruh akan dibuat ulang profilnya pada kesempatan berikutnya, yang ditentukan oleh berbagai faktor (seperti kapasitas mesin yang tersedia atau unit langganan yang dibeli). Sensitive Data Protection kemudian mulai menunggu pembaruan terkumpul lagi sesuai dengan jadwal yang Anda tetapkan.
Misalnya, konfigurasi pemindaian Anda ditetapkan untuk membuat ulang profil setiap bulan saat terjadi perubahan skema. Profil data pertama kali dibuat pada hari ke-0. Tidak ada perubahan skema yang terjadi pada hari ke-30, sehingga tidak ada data yang diprofil ulang. Pada hari ke-35, perubahan skema pertama akan terjadi. Perlindungan Data Sensitif akan membuat ulang profil data yang diperbarui pada peluang berikutnya. Kemudian, sistem menunggu 30 hari lagi hingga update skema terkumpul sebelum membuat profil ulang data yang diperbarui.
Dari saat pembuatan profil ulang dimulai, mungkin perlu waktu hingga 24 jam agar operasi selesai. Jika penundaan berlangsung lebih dari 24 jam dan Anda menggunakan mode harga langganan, konfirmasi apakah Anda memiliki kapasitas yang tersisa untuk bulan ini.
Untuk contoh skenario, lihat Contoh penghitungan harga pembuatan profil data.
Untuk memaksa layanan penemuan membuat profil ulang data Anda, lihat Memaksa operasi pembuatan profil ulang.
Membuat profil performa
Waktu yang diperlukan untuk membuat profil data Anda bervariasi bergantung pada beberapa faktor, termasuk, tetapi tidak terbatas pada, hal berikut:
- Jumlah resource data yang dibuat profilnya
- Ukuran resource data
- Untuk tabel, jumlah kolom
- Untuk tabel, jenis data di kolom
Oleh karena itu, performa Perlindungan Data Sensitif dalam tugas pembuatan profil atau pemeriksaan sebelumnya tidak menunjukkan performanya dalam tugas pembuatan profil di masa mendatang.
Retensi profil data
Sensitive Data Protection menyimpan versi terbaru profil data selama 13 bulan. Saat Sensitive Data Protection membuat ulang profil resource data, sistem akan mengganti profil resource data yang ada dengan yang baru.
Dalam contoh skenario berikut, asumsikan bahwa frekuensi pembuatan profil default untuk BigQuery berlaku:
Pada 1 Januari, Sensitive Data Protection membuat profil Tabel A. Tabel A tidak berubah selama lebih dari setahun, sehingga tidak dibuat profilnya lagi. Dalam hal ini, Perlindungan Data Sensitif akan menyimpan profil data untuk Tabel A selama 13 bulan sebelum menghapusnya.
Pada 1 Januari, Sensitive Data Protection membuat profil Tabel A. Dalam sebulan, seseorang di organisasi Anda memperbarui skema tabel tersebut. Karena perubahan ini, bulan berikutnya, Perlindungan Data Sensitif akan otomatis membuat ulang profil Tabel A. Profil data yang baru dibuat akan menimpa profil yang dibuat pada Januari.
Untuk mengetahui informasi tentang cara Perlindungan Data Sensitif menagih data pembuatan profil, lihat Harga Discovery.
Jika Anda ingin mempertahankan profil data tanpa batas waktu atau menyimpan catatan tentang perubahan yang dialaminya, pertimbangkan untuk menyimpan profil data ke BigQuery saat Anda mengonfigurasi pembuatan profil. Anda memilih set data BigQuery tempat profil akan disimpan, dan Anda mengontrol kebijakan masa berlaku tabel untuk set data tersebut.
Mengganti konfigurasi pemindaian
Anda hanya dapat membuat satu konfigurasi pemindaian untuk setiap kombinasi cakupan dan jenis penemuan. Misalnya, Anda hanya dapat membuat satu konfigurasi pemindaian tingkat organisasi untuk pembuatan profil data BigQuery dan satu konfigurasi pemindaian tingkat organisasi untuk penemuan secret. Demikian pula, Anda hanya dapat membuat satu konfigurasi pemindaian tingkat project untuk pembuatan profil data BigQuery dan satu konfigurasi pemindaian tingkat project untuk penemuan secret.
Jika dua atau beberapa konfigurasi pemindaian aktif memiliki project dan jenis penemuan yang sama dalam cakupannya, aturan berikut akan berlaku:
- Di antara konfigurasi pemindaian tingkat organisasi dan tingkat folder, konfigurasi yang paling dekat dengan project akan dapat menjalankan penemuan untuk project tersebut. Aturan ini berlaku meskipun konfigurasi pemindaian level project dengan jenis penemuan yang sama juga ada.
- Perlindungan Data Sensitif memperlakukan konfigurasi pemindaian tingkat project secara terpisah dari konfigurasi tingkat organisasi dan tingkat folder. Konfigurasi pemindaian yang Anda buat di tingkat project tidak dapat mengganti konfigurasi yang Anda buat untuk folder atau organisasi induk.
Pertimbangkan contoh berikut, yang memiliki tiga konfigurasi pemindaian aktif. Anggaplah semua konfigurasi pemindaian ini ditujukan untuk pembuatan profil data BigQuery.
Di sini, Konfigurasi pemindaian 1 berlaku untuk seluruh organisasi, Konfigurasi pemindaian 2 berlaku untuk folder Tim B, dan Konfigurasi pemindaian 3 berlaku untuk project Produksi. Dalam contoh ini:
- Perlindungan Data Sensitif membuat profil semua tabel dalam project yang tidak berada di folder Tim B sesuai dengan Konfigurasi pemindaian 1.
- Perlindungan Data Sensitif membuat profil semua tabel dalam project di folder Tim B, termasuk tabel dalam project Produksi, sesuai dengan Konfigurasi pemindaian 2.
- Sensitive Data Protection membuat profil semua tabel dalam project Production sesuai dengan Konfigurasi pemindaian 3.
Dalam contoh ini, Perlindungan Data Sensitif menghasilkan dua kumpulan profil untuk project Production—satu kumpulan untuk setiap konfigurasi pemindaian berikut:
- Konfigurasi pemindaian 2
- Konfigurasi pemindaian 3
Namun, meskipun ada dua kumpulan profil untuk project yang sama, Anda tidak akan melihat semuanya bersama-sama di dasbor. Anda hanya melihat profil yang dihasilkan di resource—organisasi, folder, atau project—dan region yang Anda lihat.
Untuk mengetahui informasi selengkapnya tentang hierarki resource Google Cloud, lihat Hierarki resource.
Ringkasan profil data
Setiap profil data menyertakan snapshot konfigurasi pemindaian dan template inspeksi yang digunakan untuk membuatnya. Anda dapat menggunakan snapshot ini untuk memeriksa setelan yang digunakan untuk membuat profil data tertentu.
Pertimbangan residensi data untuk data Google Cloud
Bagian ini hanya berlaku untuk penemuan data sensitif untuk resource Google Cloud. Untuk pertimbangan retensi data yang terkait dengan data Amazon S3, lihat Penemuan data sensitif untuk data Amazon S3.
Sensitive Data Protection dirancang untuk mendukung residensi data. Jika Anda harus mematuhi persyaratan residensi data, pertimbangkan poin-poin berikut:
Template inspeksi regional
Bagian ini hanya berlaku untuk penemuan data sensitif untuk resource Google Cloud. Untuk pertimbangan retensi data yang terkait dengan data Amazon S3, lihat Penemuan data sensitif untuk data Amazon S3.
Sensitive Data Protection memproses data Anda di region yang sama dengan tempat data tersebut disimpan. Artinya, data Anda tidak keluar dari wilayahnya saat ini.
Selain itu, template inspeksi hanya dapat digunakan untuk membuat profil data yang berada di region yang sama dengan template tersebut. Misalnya, jika Anda mengonfigurasi
penemuan untuk menggunakan template pemeriksaan yang disimpan di region us-west1
, Perlindungan Data Sensitif hanya dapat membuat profil data di region tersebut.
Anda dapat
menetapkan template inspeksi khusus
untuk setiap wilayah tempat Anda memiliki data.
Jika Anda memberikan template pemeriksaan yang disimpan di region global
,
Perlindungan Data Sensitif akan menggunakan template tersebut untuk data di region tanpa
template pemeriksaan khusus.
Tabel berikut memberikan contoh skenario:
Skenario | Dukungan |
---|---|
Pindai data di region us menggunakan template inspeksi dari
region us . |
Didukung |
Pindai data di region global menggunakan template pemeriksaan
dari region us . |
Tidak didukung |
Pindai data di region us menggunakan template inspeksi dari
region global . |
Didukung |
Pindai data di region us menggunakan template inspeksi dari
region us-east1 . |
Tidak didukung |
Pindai data di region us-east1 menggunakan template pemeriksaan
dari region us . |
Tidak didukung |
Pindai data di region us menggunakan template inspeksi dari
region asia . |
Tidak didukung |
Konfigurasi profil data
Bagian ini hanya berlaku untuk penemuan data sensitif untuk resource Google Cloud. Untuk pertimbangan retensi data yang terkait dengan data Amazon S3, lihat Penemuan data sensitif untuk data Amazon S3.
Saat membuat profil data, Perlindungan Data Sensitif akan mengambil snapshot konfigurasi pemindaian dan template pemeriksaan Anda, lalu menyimpannya di setiap profil data tabel atau profil data penyimpanan file.
Jika Anda mengonfigurasi penemuan untuk menggunakan template pemeriksaan dari region global
, Perlindungan Data Sensitif akan menyalin template tersebut ke region mana pun yang memiliki
data untuk dibuat profilnya. Demikian pula, konfigurasi pemindaian akan disalin ke region tersebut.
Pertimbangkan contoh ini: Project A berisi Tabel 1. Tabel 1 berada
di region us-west1
; konfigurasi pemindaian berada di region us-west2
;
dan template pemeriksaan berada di region global
.
Saat memindai Project A, Perlindungan Data Sensitif akan membuat profil data untuk Tabel 1 dan menyimpannya di region us-west1
. Profil data tabel Tabel 1
berisi salinan konfigurasi pemindaian dan template pemeriksaan yang digunakan dalam
operasi pembuatan profil.
Jika Anda tidak ingin template inspeksi disalin ke region lain, jangan konfigurasikan Perlindungan Data Sensitif untuk memindai data di region tersebut.
Penyimpanan regional profil data
Bagian ini hanya berlaku untuk penemuan data sensitif untuk resource Google Cloud. Untuk pertimbangan retensi data yang terkait dengan data Amazon S3, lihat Penemuan data sensitif untuk data Amazon S3.
Perlindungan Data Sensitif memproses data Anda di region atau multi-region tempat data tersebut berada dan menyimpan profil data yang dihasilkan di region atau multi-region yang sama.
Untuk melihat profil data di konsol Google Cloud, Anda harus memilih region tempat profil data tersebut berada terlebih dahulu. Jika memiliki data di beberapa region, Anda harus beralih region untuk melihat setiap kumpulan profil.
Wilayah yang tidak didukung
Bagian ini hanya berlaku untuk penemuan data sensitif untuk resource Google Cloud. Untuk pertimbangan retensi data yang terkait dengan data Amazon S3, lihat Penemuan data sensitif untuk data Amazon S3.
Jika Anda memiliki data di region yang tidak didukung oleh Perlindungan Data Sensitif, layanan penemuan akan melewati resource data tersebut dan menampilkan error saat Anda melihat profil data.
Multi-region
Perlindungan Data Sensitif memperlakukan multi-region sebagai satu region, bukan kumpulan region. Misalnya, multi-region us
dan region us-west1
diperlakukan sebagai dua region terpisah sehubungan dengan residensi
data.
Resource zona
Perlindungan Data Sensitif adalah layanan regional dan multi-regional; layanan ini tidak membedakan zona. Untuk resource zonal yang didukung seperti
instance Cloud SQL, data diproses di region saat ini, tetapi
tidak selalu di zona saat ini. Misalnya, jika instance Cloud SQL
disimpan di zona us-central1-a
, Perlindungan Data Sensitif
akan memproses dan menyimpan profil data di region us-central1
.
Untuk informasi umum tentang lokasi Google Cloud, lihat Geografi dan region.
Kepatuhan
Untuk mengetahui informasi tentang cara Perlindungan Data Sensitif menangani data Anda dan membantu Anda memenuhi persyaratan kepatuhan, lihat Keamanan data.
Langkah selanjutnya
Baca postingan blog Identity & Security Pengelolaan risiko data otomatis untuk BigQuery menggunakan Perlindungan Data Sensitif.
Pelajari cara memperkirakan biaya pembuatan profil data.
Pelajari cara membuat profil data di tingkat organisasi, folder, atau project.
Pelajari cara Perlindungan Data Sensitif menghitung risiko data dan tingkat sensitivitas saat membuat profil data Anda.
Pelajari cara memperbaiki temuan penemuan.
Pelajari cara memecahkan masalah terkait profiler data.