本页介绍了如何在组织或文件夹一级配置 Cloud SQL 数据发现。如果您想分析项目,请参阅分析单个项目中的 Cloud SQL 数据。
如需详细了解发现服务,请参阅数据配置文件。
工作原理
以下是 Cloud SQL 数据性能分析的概要工作流程:
-
创建扫描配置后,Sensitive Data Protection 会开始识别您的 Cloud SQL 实例并为每个实例创建默认连接。此过程可能需要几个小时,具体取决于发现范围内的实例数量。您可以退出 Google Cloud 控制台,稍后再检查连接。
默认连接就绪后,请使用适当的数据库用户凭据更新每个连接,以向 Sensitive Data Protection 授予对您的 Cloud SQL 实例的访问权限。您可以提供现有的数据库用户账号,也可以创建数据库用户。
建议:提高 Sensitive Data Protection 可用于分析数据的最大连接数。增加关联数量可以加快发现速度。
支持的服务
此功能支持以下操作:
- Cloud SQL for MySQL
- Cloud SQL for PostgreSQL
不支持 Cloud SQL for SQL Server。
处理和存储区域
Sensitive Data Protection 是一项区域性和多区域性服务,不会区分可用区。当敏感数据保护服务对 Cloud SQL 实例进行配置文件分析时,数据会在其当前区域(但不一定是当前可用区)中进行处理。例如,如果 Cloud SQL 实例存储在 us-central1-a
可用区,则 Sensitive Data Protection 会在 us-central1
区域处理和存储数据分析结果。
如需了解详情,请参阅数据驻留注意事项。
准备工作
确认您拥有在组织级别配置数据剖析文件所需的 IAM 权限。
如果您没有“Organization Administrator”(
roles/resourcemanager.organizationAdmin
) 或“Security Admin”(roles/iam.securityAdmin
) 角色,您仍然可以创建扫描配置。不过,在您创建扫描配置后,必须由具有其中任一角色的人员向您的服务代理授予数据分析访问权限。您必须在有要分析的数据的每个区域都提供检查模板。如果您想针对多个区域使用单个模板,可以使用存储在
global
区域中的模板。如果组织政策阻止您在global
区域创建检查模板,则您必须为每个区域设置专用的检查模板。如需了解详情,请参阅数据驻留注意事项。通过此任务,您只能在
global
区域创建检查模板。如果您需要为一个或多个区域创建专用检查模板,则必须先创建这些模板,然后才能执行此任务。如需在发生特定事件(例如敏感数据保护分析表分析新表时)向某个主题发送 Pub/Sub 通知,请先创建 Pub/Sub 主题,然后再执行此任务。
您可以将敏感数据保护配置为自动为资源附加标记。借助此功能,您可以根据计算出的敏感度级别有条件地授予对这些资源的访问权限。如果您想使用此功能,则必须先完成根据数据敏感性控制 IAM 对资源的访问权限中的任务。
如需生成数据剖析文件,您需要服务代理容器和服务代理。您可以通过此任务自动创建这些报告。
创建扫描配置
转到创建扫描配置页面。
前往您的组织。在工具栏上,点击项目选择器,然后选择您的组织。
以下部分详细介绍了创建扫描配置页面中的步骤。在每个部分结束时,点击继续。
选择发现类型
选择 Cloud SQL。
选择范围
执行下列其中一项操作:- 如需在组织级别配置性能分析,请选择扫描整个组织。
- 如需在文件夹级别配置性能分析,请选择扫描所选文件夹。点击浏览,然后选择相应文件夹。
管理时间表
如果默认性能分析频率符合您的需求,您可以跳过创建扫描配置页面的此部分。
配置此部分的原因如下:
- 对所有数据或特定数据子集的性能分析频率进行精细调整。
- 指定您不想分析的表。
- 指定您不希望多次分析的表。
如需对性能分析频率进行精细调整,请按以下步骤操作:
- 点击添加时间表。
在过滤条件部分中,您可以定义一个或多个过滤条件,指定哪些表属于该时间表的范围。
请至少指定以下其中一项:
- 一个项目 ID 或一个正则表达式,用于指定一个或多个项目。
- 实例 ID 或用于指定一个或多个实例的正则表达式。
- 数据库 ID 或用于指定一个或多个数据库的正则表达式。
- 表 ID 或用于指定一个或多个表的正则表达式。在数据库资源名称或正则表达式字段中输入此值。
正则表达式必须遵循 RE2 语法。
例如,如果您希望将数据库中的所有表都包含在过滤条件中,请在数据库 ID 字段中输入数据库 ID。
如果您想添加更多过滤条件,请点击添加过滤条件,然后重复此步骤。
点击频次。
在频率部分,指定发现服务是否应分析您选择的表,如果应分析,则指定分析频率:
如果您不希望对表进行分析,请关闭分析这些数据。
如果您希望至少对表进行一次性能分析,请让对此数据进行性能分析保持开启状态。
在本部分的后续字段中,您可以指定系统是否应重新分析您的数据,以及哪些事件应触发重新分析操作。如需了解详情,请参阅数据配置文件生成频率。
- 对于按计划,请指定您希望重新分析表的频率。无论表是否发生了任何更改,系统都会重新对其进行分析。
- 对于架构发生更改时,指定敏感数据保护功能应检查所选表在上次分析后是否发生了架构更改的频率。系统只会重新分析发生架构更改的表。
- 对于架构更改类型,请指定哪些类型的架构更改应触发重新配置操作。选择以下选项之一:
- 新列:重新分析添加了新列的表。
- 移除的列:重新分析移除了列的表。
例如,假设您有表格每天都会添加新列,并且您需要每次都对其内容进行性能分析。您可以将发生架构更改时设置为每日重新分析,并将架构更改类型设置为新列。
- 对于检查模板发生更改时,请指定您是否希望在关联的检查模板更新时重新分析数据,如果是,则指定重新分析的频率。
当发生以下任一情况时,系统会检测到检查模板更改:
- 扫描配置中的检查模板名称发生更改。
- 检查模板的
updateTime
发生更改。
例如,如果您为
us-west1
区域设置了检查模板,并更新了该检查模板,则系统只会重新分析us-west1
区域中的数据。
点击条件。
在条件部分,您可以指定要分析的数据库资源类型。默认情况下,敏感数据保护功能会设置为分析所有受支持的数据库资源类型。当敏感数据保护增加对更多数据库资源类型的支持时,系统也会自动对这些类型进行性能分析。
可选:如果您想明确设置要分析的数据库资源类型,请按以下步骤操作:
- 点击数据库资源类型字段。
- 选择要分析的数据库资源类型。
如果 Sensitive Data Protection 日后针对更多 Cloud SQL 数据库资源类型添加了发现支持,那么只有当您返回此列表并选择这些类型时,系统才会对其进行性能分析。
点击完成。
如果您想添加更多时间表,请点击添加时间表,然后重复上述步骤。
如需指定时间表之间的优先级,请使用
向上键和 向下键对其重新排序。时间表的顺序指定了如何解决时间表之间的冲突。如果某个表与两个不同时间表的过滤条件匹配,则时间表列表中较靠前的时间表将决定该表的性能分析频率。
列表中的最后一项时间表始终标记为默认时间表。此默认时间表涵盖所选范围中与您创建的任何时间表都不匹配的表。此默认时间表遵循系统默认的性能分析频率。
如果您想调整默认时间表,请点击
修改时间表,然后根据需要调整设置。
选择检查模板
根据您希望以何种方式提供检查配置,选择以下选项之一。无论您选择哪个选项,敏感数据保护功能都会扫描数据存储区域中的数据。也就是说,您的数据不会离开其来源区域。
选项 1:创建检查模板
如果您想在 global
区域创建新的检查模板,请选择此选项。
- 点击创建新的检查模板。
可选:如需修改 infoType 的默认选择,请点击管理 infoType。
如需详细了解如何管理内置和自定义 infoType,请参阅通过 Google Cloud 控制台管理 infoType。
您必须至少选择一种 infoType,才能继续。
可选:通过添加规则集并设置置信度阈值,进一步配置检查模板。如需了解详情,请参阅配置检测。
Sensitive Data Protection 创建扫描配置时,会将此新检查模板存储在 global
区域。
选项 2:使用现有的检查模板
如果您有要使用的现有检查模板,请选择此选项。
- 点击选择现有的检查模板。
- 输入您要使用的检查模板的完整资源名称。
Region(区域)字段会自动填充检查模板存储所在区域的名称。
您输入的检查模板必须与要剖析的数据位于同一区域。
为了遵循数据驻留要求,敏感数据保护不会在存储检查模板的区域之外使用该模板。
如需查找检查模板的完整资源名称,请按以下步骤操作:
- 转到检查模板列表。系统会在另一个标签页中打开此页面。
- 切换到包含您要使用的检查模板的项目。
- 在模板标签页上,点击要使用的模板的 ID。
- 在打开的页面上,复制模板的完整资源名称。完整资源名称采用以下格式:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
- 在创建扫描配置页面的模板名称字段中,粘贴模板的完整资源名称。
- 转到检查模板列表。系统会在另一个标签页中打开此页面。
- 如需为其他区域添加检查模板,请点击添加检查模板,然后输入模板的完整资源名称。对您有专用检查模板的每个区域重复此操作。
- 可选:添加存储在
global
区域中的检查模板。敏感数据保护功能会自动针对您没有专用检查模板的区域中的数据使用该模板。
添加操作
在以下部分中,您可以指定敏感数据保护在生成数据配置文件后要执行的操作。
如需了解其他 Google Cloud 服务在配置操作时可能会收取的费用,请参阅导出数据配置文件的价格。
发布到 Google Security Operations
从数据配置文件中收集的指标可以为 Google Security Operations 的发现结果添加背景信息。添加的背景信息有助于您确定最需要解决的安全问题。
例如,如果您要调查特定服务代理,Google 安全运营团队可以确定该服务代理访问了哪些资源,以及其中是否有任何资源包含高敏感数据。
如需将数据分析文件发送到 Google Security Operations 实例,请开启 Google Security Operations。
如果您尚未为组织启用 Google Security Operations 实例(通过独立产品或通过 Security Command Center Enterprise),则启用此选项不会产生任何影响。
发布到 Security Command Center
在 Security Command Center 中对漏洞和威胁发现结果进行分类并制定响应计划时,数据配置文件中的发现结果可提供背景信息。
您必须先在组织级层激活 Security Command Center,然后才能使用此操作。在组织级层启用 Security Command Center 后,您可以接收来自敏感数据保护等集成服务的发现结果。Sensitive Data Protection 可与 Security Command Center 的所有服务层级配合使用。如果未在组织级层激活 Security Command Center,敏感数据保护发现结果将不会显示在 Security Command Center 中。如需了解详情,请参阅查看 Security Command Center 的激活级层。
如需将数据分析结果发送到 Security Command Center,请确保发布到 Security Command Center 选项处于开启状态。
如需了解详情,请参阅将数据分析文件发布到 Security Command Center。
将数据配置文件副本保存到 BigQuery
启用将数据剖析文件副本保存到 BigQuery 后,您可以保留所有生成的配置文件的已保存副本或历史记录。这对于创建审核报告和可视化数据配置文件非常有用。您还可以将这些信息加载到其他系统。
此外,使用此选项,您可以在一个视图中查看所有数据剖析文件,而不考虑数据位于哪个区域。如果关闭此选项,您仍然可以在 Google Cloud 控制台中查看数据剖析文件。不过,在 Google Cloud 控制台中,您一次只能选择一个区域,并且只能查看该区域的数据剖析文件。
如需将数据剖析文件的副本导出到 BigQuery 表,请按以下步骤操作:
启用将数据分析文件副本保存到 BigQuery。
输入要保存数据剖析文件的 BigQuery 表的详细信息:
在项目 ID 中,输入您要将数据配置文件导出到的现有项目的 ID。
在 Dataset ID 中,输入您希望将数据集配置文件导出到的项目中现有数据集的名称。
在表 ID 中,输入要将数据剖析文件导出到的 BigQuery 表的名称。如果您尚未创建此表,Sensitive Data Protection 会使用您提供的名称自动为您创建此表。
从您开启此选项开始,Sensitive Data Protection 就会开始导出配置文件。在您启用导出功能之前生成的配置文件不会保存到 BigQuery。
将标记附加到资源
启用为资源附加标记会指示敏感数据保护功能根据计算出的敏感度级别自动为数据添加标记。若要完成本部分,您需要先完成根据数据敏感性控制 IAM 对资源的访问权限中的任务。
如需根据计算出的敏感性级别自动为资源添加标记,请按以下步骤操作:
- 开启代码资源选项。
对于每个敏感度级别(高、中、低和未知),输入您为给定敏感度级别创建的标记值的路径。
如果您跳过某个敏感度级别,系统不会为其附加任何标记。
如需在存在敏感度级别标记时自动降低资源的数据风险级别,请选择对资源应用标记时,将其分析文件的数据风险降为“低”。此选项可帮助您衡量数据安全和隐私保护状况的改进程度。
选择以下一个或两个选项:
- 首次分析资源时对其添加标记。
更新资源分析文件时对资源添加标记。如果您希望 Sensitive Data Protection 在后续运行发现功能时覆盖敏感度级别标记值,请选择此选项。因此,随着系统计算出的数据敏感性级别的增减,正文对资源的访问权限也会自动发生变化。
如果您计划手动更新发现服务附加到资源的敏感度级别标记值,请勿选择此选项。如果您选择此选项,Sensitive Data Protection 可能会覆盖您的手动更新。
发布到 Pub/Sub
开启发布到 Pub/Sub 后,您可以根据性能分析结果执行程序化操作。您可以使用 Pub/Sub 通知制定工作流,以发现和修复存在重大数据风险或敏感性的发现。
如需向 Pub/Sub 主题发送通知,请按以下步骤操作:
开启发布到 Pub/Sub。
系统会显示一个选项列表。每个选项都描述了导致敏感数据保护功能向 Pub/Sub 发送通知的事件。
选择应触发 Pub/Sub 通知的事件。
如果您选择每当更新配置文件时就发送 Pub/Sub 通知,则当配置文件中的敏感度级别、数据风险级别、检测到的 infoType、公开访问权限和其他重要指标发生变化时,敏感数据保护功能会发送通知。
对于您选择的每项事件,请按以下步骤操作:
输入主题的名称。名称必须采用以下格式:
projects/PROJECT_ID/topics/TOPIC_ID
替换以下内容:
- PROJECT_ID:与 Pub/Sub 主题关联的项目的 ID。
- TOPIC_ID:Pub/Sub 主题的 ID。
指定是在通知中包含完整的表格配置文件,还是仅包含经过配置文件分析的表格的完整资源名称。
设置敏感数据保护功能必须达到的最低数据风险等级和敏感程度,才能发送通知。
指定必须同时满足数据风险和敏感性条件,还是只满足其中一个条件即可。例如,如果您选择
AND
,则必须同时满足数据风险和敏感性条件,Sensitive Data Protection 才会发送通知。
管理服务代理容器和结算
在本部分中,您将指定要用作服务代理容器的项目。您可以让敏感数据保护功能自动创建新项目,也可以选择现有项目。
无论您是使用新创建的服务代理还是重复使用现有服务代理,请确保该代理对要分析的数据具有读取权限。
自动创建项目
如果您没有在组织中创建项目所需的权限,则需要改为选择现有项目或获取所需权限。如需了解所需的权限,请参阅在组织或文件夹级层使用数据剖析文件所需的角色。
如需自动创建一个用作服务代理容器的项目,请按以下步骤操作:
- 在服务代理容器字段中,查看建议的项目 ID,并根据需要进行修改。
- 点击创建。
- 可选:更新默认项目名称。
选择要对与此新项目相关的所有可计费操作(包括与发现无关的操作)付费的账号。
点击创建。
Sensitive Data Protection 会创建新项目。此项目中的服务代理将用于向 Sensitive Data Protection 和其他 API 进行身份验证。
选择现有项目
如需选择现有项目作为服务代理容器,请点击服务代理容器字段,然后选择相应项目。
设置用于存储配置的位置
点击资源位置列表,然后选择要存储此扫描配置的区域。您日后创建的所有扫描配置也会存储在此位置。
您选择存储扫描配置的位置不会影响要扫描的数据。系统会扫描存储数据的同一个区域中的数据。如需了解详情,请参阅数据驻留注意事项。
检查并创建
- 如果您想确保在创建扫描配置后系统不会自动开始分析,请选择在暂停模式下创建扫描。
此选项适用于以下情况:
- 您的 Google Cloud 管理员仍需要向服务代理授予数据分析访问权限。
- 您要创建多项扫描配置,并且希望某些配置替换其他配置。
- 您选择将数据分析文件保存到 BigQuery,并希望确保服务代理对输出表具有写入权限。
- 您已配置 Pub/Sub 通知,并希望向服务代理授予发布权限。
- 您已启用将标记附加到资源操作,并且需要向服务代理授予对敏感度标签的访问权限。
- 检查设置,然后点击创建。
Sensitive Data Protection 会创建扫描配置并将其添加到发现扫描配置列表中。
如需查看或管理扫描配置,请参阅管理扫描配置。
Sensitive Data Protection 会开始识别您的 Cloud SQL 实例并为每个实例创建默认连接。此过程可能需要几小时,具体取决于发现范围内的实例数量。您可以退出 Google Cloud 控制台,稍后再检查连接。默认连接就绪后,使用您希望 Sensitive Data Protection 用于分析 Cloud SQL 实例的数据库用户凭据更新这些连接。如需了解详情,请参阅管理要与发现功能搭配使用的连接。
后续步骤
了解如何更新关联。