Cloud Data Loss Prevention (Cloud DLP) ora fa parte di Sensitive Data Protection. Il nome dell'API rimane invariato: API Cloud Data Loss Prevention (API DLP). Per informazioni sui servizi che compongono Sensitive Data Protection, consulta la panoramica di Sensitive Data Protection.

Questa pagina è stata tradotta dall'API Cloud Translation.

Profili di dati

Questa pagina descrive il servizio di rilevamento dei dati sensibili. Questo servizio ti aiuta a determinare dove si trovano i dati sensibili e ad alto rischio nella tua organizzazione.

Panoramica

Il servizio di rilevamento ti consente di proteggere i dati della tua organizzazione identificando la posizione dei dati sensibili e ad alto rischio. Quando crei una configurazione di scansione del rilevamento, Sensitive Data Protection analizza le tue risorse per identificare i dati che rientrano nell'ambito della profilazione. Poi genera profili dei tuoi dati. Finché la configurazione di rilevamento è attiva, Sensitive Data Protection profila automaticamente i dati che aggiungi e modifichi. Puoi generare profili di dati per l'intera organizzazione, per singole collezioni e per singoli progetti.

Ogni profilo di dati è un insieme di approfondimenti e metadati raccolti dal servizio di rilevamento dalla scansione di una risorsa supportata. Gli approfondimenti includono gli infoTypes previsti e i livelli di rischio e sensibilità dei dati calcolati. Utilizza questi insight per prendere decisioni informate su come proteggere, condividere e utilizzare i tuoi dati.

I profili dei dati vengono generati a vari livelli di dettaglio. Ad esempio, quando profili i dati di BigQuery, i profili vengono generati a livello di progetto, tabella e colonna.

L'immagine seguente mostra un elenco di profili di dati a livello di colonna. Fai clic sull'immagine per ingrandirla.

Screenshot dei profili dei dati delle colonne

Per un elenco di approfondimenti e metadati inclusi in ogni profilo di dati, consulta Riferimento alle metriche.

Per ulteriori informazioni sulla gerarchia delle risorse Google Cloud, consulta Gerarchia delle risorse.

Generazione del profilo dei dati

Per iniziare a generare profili dei dati, devi creare una configurazione di scansione di rilevamento (detta anche configurazione del profilo dei dati). In questa configurazione della ricerca puoi impostare l'ambito dell'operazione di rilevamento e il tipo di dati di cui vuoi creare il profilo. Nella configurazione della scansione, puoi impostare filtri per specificare sottoinsiemi di dati da profilare o ignorare. Puoi anche impostare la pianificazione del profilo.

Quando crei una configurazione di scansione, devi anche impostare il modello di ispezione da utilizzare. Il modello di ispezione è dove specifichi i tipi di dati sensibili (chiamati anche infoTypes) che Sensitive Data Protection deve cercare.

Quando Sensitive Data Protection crea profili di dati, analizza i dati in base alla configurazione della scansione e al modello di ispezione.

Sensitive Data Protection riprofilerà i dati come descritto in Frequenza di generazione del profilo di dati. Puoi personalizzare la frequenza di creazione del profilo nella configurazione della scansione creando una pianificazione. Per forzare il servizio di rilevamento a eseguire il nuovo profilo dei dati, consulta Forzare un'operazione di nuovo profilo.

Tipi di rilevamento

Questa sezione descrive i tipi di operazioni di rilevamento che puoi eseguire e le risorse di dati supportate.

Rilevamento per BigQuery e BigLake

Quando profili i dati BigQuery, i profili dei dati vengono generati a livello di progetto, tabella e colonna. Dopo aver eseguito il profiling di una tabella BigQuery, puoi esaminare ulteriormente i risultati eseguendo un'ispezione approfondita.

Le tabelle dei profili di Sensitive Data Protection supportate dall'API BigQuery Storage Read, tra cui:

Tabelle BigQuery standard
Snapshot delle tabelle
Tabelle BigLake archiviate in Cloud Storage

Non è supportato quanto segue:

Tabelle BigQuery Omni.
Le tabelle in cui le dimensioni dei dati serializzati delle singole righe superano la dimensione massima dei dati serializzati supportata dall'API BigQuery Storage Read, ovvero 128 MB.
Tabelle esterne non BigLake, come Fogli Google.

Per informazioni su come creare il profilo dei dati di BigQuery, consulta quanto segue:

Per ulteriori informazioni su BigQuery, consulta la documentazione di BigQuery.

Discovery per Cloud SQL

Quando profili i dati di Cloud SQL, i profili vengono generati a livello di progetto, tabella e colonna. Prima che il rilevamento possa iniziare, devi fornire i dettagli di connessione per ogni istanza Cloud SQL da profilare.

Per informazioni su come creare il profilo dei dati di Cloud SQL, consulta quanto segue:

Per ulteriori informazioni su Cloud SQL, consulta la documentazione di Cloud SQL.

Discovery per Cloud Storage

Quando profila i dati di Cloud Storage, i profili di dati vengono generati a livello di bucket. Sensitive Data Protection raggruppa i file rilevati in cluster di file e fornisce un riepilogo per ogni cluster.

Per informazioni su come creare il profilo dei dati di Cloud Storage, consulta quanto segue:

Per ulteriori informazioni su Cloud Storage, consulta la documentazione di Cloud Storage.

Discovery per Vertex AI

Quando profili un set di dati Vertex AI, Sensitive Data Protection genera un profilo dei dati del file store o un profilo dei dati della tabella, a seconda di dove sono archiviati i dati di addestramento: Cloud Storage o BigQuery.

Per ulteriori informazioni, consulta le seguenti risorse:

Per ulteriori informazioni su Vertex AI, consulta la documentazione di Vertex AI.

Discovery per Amazon S3

Quando profili i dati S3, i profili dei dati vengono generati a livello di bucket. Sensitive Data Protection raggruppa i file rilevati in cluster di file e fornisce un riepilogo per ogni cluster.

Per ulteriori informazioni, consulta Rilevamento dei dati sensibili per i dati di Amazon S3.

Variabili di ambiente Cloud Run

Il servizio di rilevamento può rilevare la presenza di secret nelle funzioni Cloud Run e nelle variabili di ambiente di revisione del servizio Cloud Run e inviare eventuali risultati a Security Command Center. Non vengono generati profili dei dati.

Per ulteriori informazioni, vedi Segnalare i secret nelle variabili di ambiente a Security Command Center.

Ruoli richiesti per configurare e visualizzare i profili dati

Le sezioni seguenti elencano i ruoli utente richiesti, classificati in base allo scopo. A seconda della configurazione della tua organizzazione, puoi decidere di assegnare attività diverse a persone diverse. Ad esempio, la persona che configura i profili dei dati potrebbe essere diversa da quella che li monitora regolarmente.

Ruoli richiesti per lavorare con i profili di dati a livello di organizzazione o cartella

Questi ruoli ti consentono di configurare e visualizzare i profili dei dati a livello di organizzazione o cartella.

Assicurati che questi ruoli vengano concessi alle persone appropriate a livello di organizzazione. In alternativa, l'amministratore di Google Cloud può creare ruoli personalizzati con solo le autorizzazioni pertinenti.

Finalità	Ruolo predefinito	Autorizzazioni pertinenti
Crea una configurazione di scansione del rilevamento e visualizza i profili di dati	Amministratore DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un progetto da utilizzare come container dell'agente di servizio¹	Autore progetto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Concedi l'accesso alla rete di ricerca²	Uno dei seguenti: Amministratore organizzazione (`roles/resourcemanager.organizationAdmin`) Amministratore sicurezza (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy
Visualizzare i profili di dati (sola lettura)	DLP Data Profiles Reader (`roles/dlp.dataProfilesReader`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Visualizzare i profili di dati (sola lettura)	DLP Reader (`roles/dlp.reader`)	dlp.jobs.list dlp.jobTriggers.list

¹ Se non disponi del ruolo Progetto Creator (roles/resourcemanager.projectCreator), puoi comunque creare una configurazione della scansione, ma il contenitore agente di servizio che utilizzi deve essere un progetto esistente.

² Se non disponi del ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) o Amministratore sicurezza (roles/iam.securityAdmin), puoi comunque creare una configurazione di scansione. Dopo aver creato la configurazione della ricerca, un utente della tua organizzazione che dispone di uno di questi ruoli deve concedere l'accesso in modalità di rilevamento all'agente di servizio.

Ruoli richiesti per lavorare con i profili dati a livello di progetto

Questi ruoli ti consentono di configurare e visualizzare i profili dei dati a livello di progetto.

Assicurati che questi ruoli vengano concessi alle persone appropriate a livello di progetto. In alternativa, l'amministratore di Google Cloud può creare ruoli personalizzati con solo le autorizzazioni pertinenti.

Finalità	Ruolo predefinito	Autorizzazioni pertinenti
Configurare e visualizzare i profili dei dati	Amministratore DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Visualizzare i profili di dati (sola lettura)	DLP Data Profiles Reader (`roles/dlp.dataProfilesReader`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Visualizzare i profili di dati (sola lettura)	DLP Reader (`roles/dlp.reader`)	dlp.jobs.list dlp.jobTriggers.list

Configurazione della scansione di rilevamento

Una configurazione di scansione di rilevamento (a volte chiamata configurazione di rilevamento o configurazione di scansione) specifica in che modo Sensitive Data Protection deve creare il profilo dei tuoi dati. Sono incluse le seguenti impostazioni:

Ambito (organizzazione, cartella o progetto) dell'operazione di rilevamento
Tipo di risorsa da profilare
Modelli di ispezione da utilizzare
Frequenza scansione
Sottoinsiemi specifici di dati da includere o escludere dalla scoperta
Azioni che vuoi che Sensitive Data Protection esegua dopo il rilevamento, ad esempio su quali servizi Google Cloud pubblicare i profili
Agente di servizio da utilizzare per le operazioni di rilevamento

Per informazioni su come creare una configurazione di scansione di rilevamento, consulta le seguenti pagine:

Discovery per i dati BigQuery
- Eseguire il profiling dei dati BigQuery in un singolo progetto
- Eseguire il profilo dei dati BigQuery in un'organizzazione o nella stessa cartella
Rilevamento dei dati di Cloud SQL
- Eseguire il profiling dei dati Cloud SQL in un singolo progetto
- Eseguire il profiling dei dati Cloud SQL in un'organizzazione o nella cartella
Rilevamento dei dati di Cloud Storage
- Eseguire il profiling dei dati di Cloud Storage in un singolo progetto
- Eseguire il profiling dei dati di Cloud Storage in un'organizzazione o una cartella
Discovery per i dati di Vertex AI (anteprima)

Anteprima

Questa funzionalità è soggetta ai "Termini delle Offerte pre-GA" nella sezione Termini generali del servizio dei Termini specifici dei servizi. Le funzionalità pre-GA sono disponibili "così come sono" e potrebbero avere un supporto limitato. Per saperne di più, consulta le descrizioni della fase di lancio.
- Eseguire il profiling dei dati di Vertex AI in un singolo progetto
- Eseguire il profiling dei dati di Vertex AI in un'organizzazione o nella cartella
Discovery per i dati di Amazon S3
Segnala i secret nelle variabili di ambiente Cloud Run a Security Command Center (non vengono generati profili)

Ambiti di configurazione della scansione

Puoi creare una configurazione di scansione ai seguenti livelli:

Organizzazione
Cartella
Progetto
Risorsa di dati singola

A livello di organizzazione e cartella, se due o più configurazioni di scansione attive hanno lo stesso progetto nel loro ambito, Sensitive Data Protection determina quale configurazione di scansione può generare profili per quel progetto. Per ulteriori informazioni, consulta Ignorare le configurazioni di scansione in questa pagina.

Una configurazione di scansione a livello di progetto può sempre creare il profilo del progetto di destinazione e non è in concorrenza con altre configurazioni a livello di cartella o organizzazione principale.

Una configurazione di scansione della singola risorsa è progettata per aiutarti a esplorare e testare il profiling su una singola risorsa di dati.

Posizione della configurazione della scansione

La prima volta che crei una configurazione di scansione, specifica dove vuoi che Sensitive Data Protection la archivi. Tutte le configurazioni di scansione create successivamente vengono archiviate nella stessa regione.

Ad esempio, se crei una configurazione di scansione per la Cartella A e la memorizzi nella regione us-west1, qualsiasi configurazione di scansione creata in un secondo momento per qualsiasi altra risorsa verrà archiviata anche in quella regione.

I metadati relativi ai dati da profilare vengono copiati nella stessa regione delle configurazioni di scansione, ma i dati stessi non vengono spostati o copiati. Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.

Modello di ispezione

Un modello di ispezione specifica i tipi di informazioni (o infoType) che Sensitive Data Protection cerca durante la scansione dei dati. Fornisci una combinazione di infoType integrati e infoType personalizzati facoltativi.

Puoi anche fornire un livello di probabilità per limitare ciò che Sensitive Data Protection considera una corrispondenza. Puoi aggiungere insiemi di regole per escludere risultati indesiderati o includerne altri.

Per impostazione predefinita, se modifichi un modello di ispezione utilizzato dalla configurazione della scansione, le modifiche vengono applicate solo alle scansioni future. La tua azione non provoca un'operazione di nuovo profilo sui tuoi dati.

Se vuoi che le modifiche al modello di ispezione attivino operazioni di nuova profilazione sui dati interessati, aggiungi o aggiorna una pianificazione nella configurazione della scansione e attiva l'opzione per eseguire la nuova profilazione dei dati quando il modello di ispezione cambia. Per scoprire di più, consulta la sezione Frequenza di generazione del profilo dei dati.

Devi avere un modello di ispezione in ogni regione in cui sono presenti i dati da profilare. Se vuoi utilizzare un unico modello per più regioni, puoi utilizzare un modello archiviato nella regione global. Se i criteri organizzativi ti impediscono di creare un modello di ispezione nella regione global, devi impostare un modello di ispezione dedicato per ogni regione. Per ulteriori informazioni, consulta Considerazioni sulla residenza dei dati.

I modelli di ispezione sono un componente fondamentale della piattaforma Sensitive Data Protection. I profili dei dati utilizzano gli stessi modelli di ispezione che puoi utilizzare in tutti i servizi Sensitive Data Protection. Per saperne di più sui modelli di ispezione, consulta Modelli.

Container dell'agente di servizio e agente di servizio

Quando crei una configurazione di scansione per la tua organizzazione o per una cartella, Sensitive Data Protection ti chiede di fornire un contenitore dell'agente di servizio. Un contenitore dell'agente di servizio è un progetto Google Cloud utilizzato da Sensitive Data Protection per monitorare gli addebiti fatturati relativi alle operazioni di profilazione a livello di organizzazione e di cartella.

Il contenitore dell'agente di servizio contiene un agente di servizio, che viene utilizzato da Sensitive Data Protection per profilare i dati per tuo conto. È necessario un agente di servizio per autenticarsi in Sensitive Data Protection e in altre API. L'agente di servizio deve disporre di tutte le autorizzazioni necessarie per accedere ai dati e creare un profilo. L'ID dell'agente di servizio ha il seguente formato:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

In questo caso, PROJECT_NUMBER è l'identificatore numerico del contenitore dell'agente di servizio.

Quando imposti il contenitore dell'agente di servizio, puoi scegliere un progetto esistente. Se il progetto selezionato contiene un agente di servizio, Sensitive Data Protection concede a quest'ultimo le autorizzazioni IAM richieste. Se il progetto non ha un agente di servizio, Sensitive Data Protection ne crea uno e gli concede automaticamente le autorizzazioni per il profiling dei dati.

In alternativa, puoi scegliere di lasciare che sia Sensitive Data Protection a creare automaticamente il contenitore dell'agente di servizio e l'agente di servizio. Sensitive Data Protection concede automaticamente all'agente di servizio le autorizzazioni per la profilazione dei dati.

In entrambi i casi, se la funzionalità Protezione dei dati sensibili non riesce a concedere all'agente di servizio l'accesso alla profilazione dei dati, viene visualizzato un errore quando visualizzi i dettagli della configurazione della ricerca.

Per le configurazioni di scansione a livello di progetto, non è necessario un contenitore agente di servizio. Il progetto di cui stai creando il profilo serve allo scopo del container dell'agente di servizio. Per eseguire operazioni di profilazione, Sensitive Data Protection utilizza l'agente di servizio del progetto.

Accesso alla profilazione dei dati a livello di organizzazione o cartella

Quando configuri la profilazione a livello di organizzazione o di cartella, Sensitive Data Protection tenta di concedere automaticamente l'accesso alla profilazione dei dati all'agente di servizio. Tuttavia, se non disponi delle autorizzazioni per concedere i ruoli IAM, Sensitive Data Protection non può eseguire questa azione per tuo conto. Un utente con queste autorizzazioni nella tua organizzazione, ad esempio un amministratore Google Cloud, deve concedere all'agente di servizio l'accesso alla profilazione dei dati.

Frequenza di generazione dei profili di dati

Dopo aver creato una configurazione di scansione del rilevamento per una determinata risorsa, Sensitive Data Protection esegue una scansione iniziale, creando i profili dei dati nell'ambito della configurazione della scansione.

Dopo la scansione iniziale, Sensitive Data Protection monitora continuamente la risorsa profilata. I dati aggiunti nella risorsa vengono profilati automaticamente poco dopo l'aggiunta.

Frequenza di riprofilamento predefinita

La frequenza di riprofilamento predefinita varia in base al tipo di rilevamento della configurazione di scansione:

Profilazione BigQuery: per ogni tabella, attendi 30 giorni e poi rifai il profilo della tabella se sono state apportate modifiche allo schema, alle righe della tabella o al tempietto di ispezione.
Profilazione Cloud SQL: per ogni tabella, attendi 30 giorni e poi riprofila la tabella se sono state apportate modifiche allo schema o al modello di ispezione.
Profilazione di Cloud Storage: per ogni bucket, attendi 30 giorni e poi riprola il bucket se il modello di ispezione è stato modificato.
Profilazione di Vertex AI: per ogni set di dati, attendi 30 giorni e poi riproduci il set di dati se il modello di ispezione è stato modificato.
Profilazione Amazon S3: per ogni bucket, attendi 30 giorni e poi effettua nuovamente la profilazione del bucket se il modello di ispezione è stato modificato.

Personalizzare la frequenza di riprofilamento

Nella configurazione della scansione, puoi personalizzare la frequenza di riprofilamento creando una o più pianificazioni per sottoinsiemi diversi di dati.

Sono disponibili le seguenti frequenze di riprofilamento:

Non riprofilare: non eseguire mai il ricalcolo dei profili dopo la generazione di quelli iniziali.
Nuova profilazione ogni giorno: attendi 24 ore prima di eseguire una nuova profilazione.
Nuova profilazione ogni settimana: attendi 7 giorni prima di eseguire una nuova profilazione.
Nuova profilazione ogni mese: attendi 30 giorni prima di eseguire una nuova profilazione.

Rieseguire il profiling in base a una pianificazione

Nella configurazione della scansione, puoi specificare se un sottoinsieme di dati deve essere sottoposto regolarmente a un nuovo profilo, indipendentemente dal fatto che i dati abbiano subito modifiche. La frequenza impostata specifica il tempo che deve trascorrere tra le operazioni di profiling. Ad esempio, se imposti la frequenza su settimanale, Sensitive Data Protection profila una risorsa di dati sette giorni dopo la sua ultima profilazione.

Nuovo profilo all'aggiornamento

Nella configurazione della scansione, puoi specificare gli eventi che possono attivare le operazioni di riprofiling. Esempi di questi eventi sono gli aggiornamenti dei modelli di ispezione.

Quando selezioni questi eventi, la pianificazione impostata specifica il tempo più lungo che la Protezione dei dati sensibili attende prima di accumulare gli aggiornamenti per eseguire il nuovo profilo dei tuoi dati. Se non vengono apportate modifiche applicabili, ad esempio modifiche allo schema o ai modelli di ispezione, nel periodo specificato non viene eseguito il nuovo profilo dei dati. Quando si verifica la successiva modifica applicabile, il profilo dei dati interessati viene aggiornato alla prima occasione, che viene determinata da vari fattori (ad esempio la capacità delle macchine disponibili o le unità di abbonamento acquistate). Sensitive Data Protection inizia quindi ad attendere che gli aggiornamenti si accumulino nuovamente in base alla pianificazione impostata.

Ad esempio, supponiamo che la configurazione di analisi sia impostata per eseguire una nuova profilazione mensile in caso di modifica dello schema. I profili dei dati sono stati creati per la prima volta il giorno 0. Non vengono apportate modifiche allo schema entro il giorno 30, pertanto non viene eseguita la nuova profilazione dei dati. Il giorno 35 si verifica la prima modifica dello schema. Sensitive Data Protection esegue il nuovo profilo dei dati aggiornati alla prima opportunità. Il sistema attende poi altri 30 giorni affinché gli aggiornamenti dello schema si accumulino prima di eseguire il nuovo profilo dei dati aggiornati.

Dal momento dell'inizio del nuovo profilo, possono essere necessarie fino a 24 ore per il completamento dell'operazione. Se il ritardo dura più di 24 ore e utilizzi la modalità di prezzo dell'abbonamento, verifica se hai spazio rimanente per il mese.

Per scenari di esempio, consulta Esempi di prezzi della profilazione dei dati.

Per forzare il servizio di rilevamento a ricreare il profilo dei dati, consulta Forzare un'operazione di ricreazione del profilo.

Rendimento della profilazione

Il tempo necessario per creare il profilo dei tuoi dati varia a seconda di diversi fattori, tra cui, a titolo esemplificativo:

Numero di risorse di dati sottoposte a profilazione
Dimensioni delle risorse di dati
Per le tabelle, il numero di colonne
Per le tabelle, i tipi di dati nelle colonne

Pertanto, il rendimento di Sensitive Data Protection in un'attività di ispezione o profilazione passata non è indicativo del rendimento che avrà nelle attività di profilazione future.

Conservazione dei profili di dati

Sensitive Data Protection conserva la versione più recente di un profilo dati per 13 mesi. Quando Sensitive Data Protection esegue il nuovo profilo di una risorsa di dati, il sistema sostituisce i profili esistenti della risorsa con quelli nuovi.

Nei seguenti scenari di esempio, si presume che sia in vigore la frequenza di impostazione del profilo predefinita per BigQuery:

Il 1° gennaio, Sensitive Data Protection profila la tabella A. La tabella A non cambia da più di un anno, pertanto non viene sottoposta nuovamente a profilazione. In questo caso, Sensitive Data Protection conserva i profili dati per la tabella A per 13 mesi prima di eliminarli.
Il 1° gennaio, Sensitive Data Protection profila la tabella A. Entro il mese, qualcuno della tua organizzazione aggiorna lo schema della tabella. A causa di questa modifica, il mese successivo Sensitive Data Protection esegue automaticamente la nuova profilazione della tabella A. I profili di dati appena generati sovrascrivono quelli creati a gennaio.

Per informazioni su come Sensitive Data Protection addebita i dati di profilazione, consulta Prezzi per il rilevamento.

Se vuoi conservare i profili dati a tempo indeterminato o tenere traccia delle modifiche che subiscono, ti consigliamo di salvarli in BigQuery quando configuri il profiling. Scegli il set di dati BigQuery in cui salvare i profili e gestisci il criterio di scadenza della tabella per quel set di dati.

Sostituzione delle configurazioni di scansione

Puoi creare una sola configurazione di scansione per ogni combinazione di ambito e tipo di rilevamento. Ad esempio, puoi creare una sola configurazione della scansione a livello di organizzazione per il profiling dei dati di BigQuery e una sola configurazione della scansione a livello di organizzazione per il rilevamento dei secret. Allo stesso modo, puoi creare una sola configurazione della scansione a livello di progetto per il profilo dei dati BigQuery e una sola configurazione della scansione a livello di progetto per il rilevamento dei secret.

Se due o più configurazioni di scansione attive hanno lo stesso progetto e lo stesso tipo di rilevamento nel loro ambito, si applicano le seguenti regole:

Tra le configurazioni di scansione a livello di organizzazione e a livello di cartella, quella più vicina al progetto potrà eseguire il rilevamento per quel progetto. Questa regola si applica anche se esiste una configurazione di scansione a livello di progetto con lo stesso tipo di rilevamento.
Sensitive Data Protection tratta le configurazioni di scansione a livello di progetto indipendentemente dalle configurazioni a livello di organizzazione e di cartella. Una configurazione di scansione creata a livello di progetto non può sostituire quella creata per una cartella o un'organizzazione principale.

Considera il seguente esempio, in cui sono presenti tre configurazioni di analisi attive. Supponiamo che tutte queste configurazioni di scansione siano per la profilazione dei dati BigQuery.

Diagramma di una gerarchia di risorse con una configurazione di scansione applicata
a un'organizzazione, una cartella e un progetto

In questo caso, la configurazione di scansione 1 si applica all'intera organizzazione, la configurazione di scansione 2 si applica alla cartella Team B e la configurazione di scansione 3 si applica al progetto Produzione. In questo esempio:

Sensitive Data Protection esegue il profiling di tutte le tabelle dei progetti che non si trovano nella cartella Team B in base alla configurazione di scansione 1.
Sensitive Data Protection esegue il profiling di tutte le tabelle dei progetti nella cartella Team B, incluse le tabelle del progetto Produzione, in base alla configurazione di scansione 2.
Sensitive Data Protection profila tutte le tabelle del progetto Produzione in base alla configurazione di scansione 3.

In questo esempio, Sensitive Data Protection genera due set di profili per il progetto Produzione, uno per ciascuna delle seguenti configurazioni di scansione:

Configurazione di scansione 2
Configurazione della scansione 3

Tuttavia, anche se esistono due insiemi di profili per lo stesso progetto, non li vedrai tutti insieme nella dashboard. Vengono visualizzati solo i profili che sono stati generati nella risorsa (organizzazione, cartella o progetto) e nella regione in cui ti trovi.

Per ulteriori informazioni sulla gerarchia delle risorse di Google Cloud, consulta Gerarchia delle risorse.

Snapshot dei profili di dati

Ogni profilo dati include uno snapshot della configurazione dell'analisi e del modello di ispezione utilizzati per generarlo. Puoi utilizzare questo snapshot per controllare le impostazioni utilizzate per generare un determinato profilo di dati.

Considerazioni sulla residenza dei dati per i dati di Google Cloud

Questa sezione si applica solo alla rilevamento dei dati sensibili per le risorse Google Cloud. Per le considerazioni sulla residenza dei dati relative ai dati di Amazon S3, consulta la sezione Rilevamento di dati sensibili per i dati di Amazon S3.

Sensitive Data Protection è progettata per supportare la residenza dei dati. Se devi rispettare i requisiti di residenza dei dati, tieni presenti i seguenti punti:

Modelli di ispezione regionali

Sensitive Data Protection elabora i tuoi dati nella stessa regione in cui sono archiviati. In altre parole, i tuoi dati non lasciano la loro regione attuale.

Inoltre, un modello di ispezione può essere utilizzato solo per creare il profilo dei dati che si trovano nella stessa regione del modello. Ad esempio, se configuri la scoperta in modo da utilizzare un modello di ispezione archiviato nella regione us-west1, Sensitive Data Protection può creare il profilo solo dei dati in quella regione.

Puoi impostare un modello di ispezione dedicato per ogni regione in cui disponi di dati. Se fornisci un modello di ispezione archiviato nella regione global, Sensitive Data Protection lo utilizza per i dati nelle regioni senza un modello di ispezione dedicato.

La seguente tabella fornisce scenari di esempio:

Scenario	Assistenza
Esegui la scansione dei dati nella regione `us` utilizzando un modello di ispezione della regione `us`.	Supportato
Esegui la scansione dei dati nella regione `global` utilizzando un modello di ispezione della regione `us`.	Non supportata
Esegui la scansione dei dati nella regione `us` utilizzando un modello di ispezione della regione `global`.	Supportato
Esegui la scansione dei dati nella regione `us` utilizzando un modello di ispezione della regione `us-east1`.	Non supportata
Esegui la scansione dei dati nella regione `us-east1` utilizzando un modello di ispezione della regione `us`.	Non supportata
Esegui la scansione dei dati nella regione `us` utilizzando un modello di ispezione della regione `asia`.	Non supportata

Configurazione del profilo dati

Quando Sensitive Data Protection crea profili dati, acquisisce uno snapshot della configurazione della scansione e del modello di ispezione e li memorizza in ogni profilo dei dati della tabella o profilo dei dati dell'archivio file. Se configuri la scoperta in modo da utilizzare un modello di ispezione della regione global, Sensitive Data Protection copia il modello in qualsiasi regione contenente dati da profilare. Analogamente, copia la configurazione della scansione in queste regioni.

Considera questo esempio: il progetto A contiene la tabella 1. La tabella 1 si trova nella regione us-west1, la configurazione della scansione nella regione us-west2 e il modello di ispezione nella regione global.

Quando Sensitive Data Protection esegue la scansione del progetto A, crea profili di dati per la tabella 1 e li archivia nella regione us-west1. Il profilo dei dati della tabella della tabella 1 contiene copie della configurazione di scansione e del modello di ispezione utilizzati nell'operazione di profilazione.

Se non vuoi che il modello di ispezione venga copiato in altre regioni, non configurare la Protezione dei dati sensibili per eseguire la scansione dei dati in quelle regioni.

Archiviazione regionale dei profili di dati

La funzionalità Protezione dei dati sensibili tratta i dati nella regione o nelle regioni in cui si trovano e archivia i profili di dati generati nella stessa regione o nelle stesse regioni.

Per visualizzare i profili dei dati nella console Google Cloud, devi prima selezionare la regione in cui si trovano. Se hai dati in più regioni, devi cambiare regione per visualizzare ogni insieme di profili.

Regioni non supportate

Se hai dati in una regione non supportata da Sensitive Data Protection, il servizio di rilevamento salta queste risorse di dati e mostra un errore quando visualizzi i profili dei dati.

Più regioni

La funzionalità Protezione dei dati sensibili tratta una regione con più zone come una sola regione e non come una raccolta di regioni. Ad esempio, la regione multiregionale us e la regione us-west1 sono trattate come due regioni distinte per quanto riguarda la residenza dei dati.

Risorse di zona

Sensitive Data Protection è un servizio regionale e multiregionale; non fa distinzione tra zone. Per una risorsa di zona supportata, come un'istanza Cloud SQL, i dati vengono elaborati nella regione corrente, ma non necessariamente nella zona corrente. Ad esempio, se un'istanza Cloud SQL è archiviata nella zona us-central1-a, Sensitive Data Protection elabora e archivia i profili di dati nella regione us-central1.

Per informazioni generali sulle località di Google Cloud, consulta Geografia e regioni.

Conformità

Per informazioni su come Sensitive Data Protection gestisce i tuoi dati e ti aiuta a soddisfare i requisiti di conformità, consulta Sicurezza dei dati.

Passaggi successivi

Leggi il post del blog Identity & Security Gestione automatica dei rischi correlati ai dati per BigQuery con Sensitive Data Protection.
Scopri come stimare il costo della profilazione dei dati.
Scopri come creare profili dei dati a livello di organizzazione, cartella o progetto.
Scopri in che modo Sensitive Data Protection calcola i livelli di rischio e sensibilità dei dati quando esegue il profilo dei tuoi dati.
Scopri come correggere i risultati di scoperta.
Scopri come risolvere i problemi relativi al profiler dei dati.