Cloud Data Loss Prevention (Cloud DLP) fait désormais partie de la protection des données sensibles. Le nom de l'API reste le même: API Cloud Data Loss Prevention (API DLP). Pour en savoir plus sur les services qui composent la protection des données sensibles, consultez Présentation de la protection des données sensibles.

Cette page a été traduite par l'API Cloud Translation.

Profiler les données Vertex AI dans une organisation ou un dossier

Cette page explique comment configurer la découverte de données Vertex AI au niveau d'une organisation ou d'un dossier. Si vous souhaitez profiler un projet, consultez Profiler les données Vertex AI dans un seul projet.

Pour participer à cette version preview, envoyez un e-mail à l'adresse cloud-dlp-feedback@google.com.

Pour en savoir plus sur le service de découverte, consultez Profils de données.

Avant de commencer

Vérifiez que vous disposez des autorisations IAM requises pour configurer des profils de données au niveau de l'organisation.

Si vous ne disposez pas du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) ou Administrateur de sécurité (roles/iam.securityAdmin), vous pouvez toujours créer une configuration d'analyse. Toutefois, une fois la configuration d'analyse créée, une personne disposant de l'un de ces rôles doit accorder l'accès au profilage des données à votre agent de service.
Vous devez disposer d'un modèle d'inspection dans chaque région où vous disposez de données à profiler. Si vous souhaitez utiliser un seul modèle pour plusieurs régions, vous pouvez utiliser un modèle stocké dans la région global. Si les règles de votre organisation vous empêchent de créer un modèle d'inspection dans la région global, vous devez définir un modèle d'inspection dédié pour chaque région. Pour en savoir plus, consultez la section Considérations relatives à la résidence des données.

Cette tâche vous permet de créer un modèle d'inspection dans la région global uniquement. Si vous avez besoin de modèles d'inspection dédiés pour une ou plusieurs régions, vous devez créer ces modèles avant d'effectuer cette tâche.
Pour envoyer des notifications Pub/Sub à un sujet lorsque certains événements se produisent (par exemple, lorsque la protection des données sensibles profile un nouveau jeu de données), créez un sujet Pub/Sub avant d'effectuer cette tâche.

Pour générer des profils de données, vous avez besoin d'un conteneur d'agent de service et d'un agent de service. Cette tâche vous permet de les créer automatiquement.

Créer une configuration d'analyse

Accédez à la page Créer une configuration d'analyse.

Accéder à la page "Créer une configuration d'analyse"
Accédez à votre organisation. Dans la barre d'outils, cliquez sur le sélecteur de projet, puis sélectionnez votre organisation.

Les sections suivantes fournissent des informations supplémentaires sur les étapes de la page Créer une configuration d'analyse. À la fin de chaque section, cliquez sur Continuer.

Sélectionner un type de détection

Sélectionnez Vertex AI.

Sélectionner un niveau d'accès

Effectuez l'une des opérations suivantes :

Pour configurer le profilage au niveau de l'organisation, sélectionnez Analyser l'ensemble de l'organisation.
Pour configurer le profilage au niveau d'un dossier, sélectionnez Analyser le dossier sélectionné. Cliquez sur Parcourir, puis sélectionnez le dossier.

Gérer les planifications

Si la fréquence de profilage par défaut répond à vos besoins, vous pouvez ignorer cette section de la page Créer une configuration d'analyse.

Configurez cette section pour les raisons suivantes:

Pour ajuster précisément la fréquence de profilage de l'ensemble de vos données ou de certains sous-ensembles.
Pour spécifier les ensembles de données que vous ne souhaitez pas profiler.
Pour spécifier les ensembles de données que vous ne souhaitez pas profiler plusieurs fois.

Pour ajuster précisément la fréquence de profilage, procédez comme suit:

Cliquez sur Ajouter un programme.
Dans la section Filtres, vous définissez un ou plusieurs filtres qui spécifient les ensembles de données inclus dans la planification.

Spécifiez un ID de projet ou une expression régulière qui spécifie un ou plusieurs projets. Les expressions régulières doivent suivre la syntaxe RE2.

Par exemple, si vous souhaitez que tous les ensembles de données d'un projet soient inclus dans le filtre, saisissez l'ID du projet dans le champ Project ID (ID du projet).

Pour ajouter d'autres filtres, cliquez sur Ajouter un filtre et répétez cette étape.
Cliquez sur Fréquence.
Dans la section Fréquence, indiquez si le service de découverte doit profiler les ensembles de données que vous avez sélectionnés et, le cas échéant, à quelle fréquence:
- Si vous ne souhaitez jamais que les ensembles de données soient profilés, désactivez l'option Profiler ces données.
- Si vous souhaitez que les ensembles de données soient profilés au moins une fois, laissez l'option Profiler ces données activée.
  
  Dans les champs suivants de cette section, vous indiquez si le système doit reprofiler vos données et quels événements doivent déclencher une opération de reprofilage. Pour en savoir plus, consultez la section Fréquence de génération du profil de données.
  1. Pour Sur une planification, spécifiez la fréquence à laquelle vous souhaitez que les ensembles de données soient reprofilés. Les ensembles de données sont reprofilés, que des modifications aient été apportées ou non.
  2. Pour When inspect template changes (Quand le modèle d'inspection change), indiquez si vous souhaitez que vos données soient reprofilées lorsque le modèle d'inspection associé est mis à jour, et si oui, à quelle fréquence.
    Remarque:Vous spécifiez les modèles d'inspection à utiliser à l'étape Sélectionner un modèle d'inspection de cette page.
    
    Une modification de modèle d'inspection est détectée dans les cas suivants:
    - Le nom d'un modèle d'inspection change dans votre configuration d'analyse.
    - Le updateTime d'un modèle d'inspection change.
Facultatif: cliquez sur Conditions.

Dans la section Conditions, vous spécifiez les conditions que les ensembles de données (définis dans vos filtres) doivent remplir avant que la protection des données sensibles ne les profile.

Si nécessaire, définissez les éléments suivants:
- Condition minimale: si vous souhaitez retarder le profilage d'un ensemble de données jusqu'à ce qu'il atteigne un certain âge, activez cette option. Saisissez ensuite la durée minimale.
- Condition temporelle: si vous ne souhaitez pas que les anciens ensembles de données soient profilés, activez cette option. Utilisez ensuite le sélecteur de date pour sélectionner une date et une heure. Tout ensemble de données créé à la date ou avant la date et l'heure sélectionnées est exclu du profilage.
Exemples de conditions

Supposons que vous ayez la configuration suivante:
- Conditions minimales
  - Durée minimale: 24 heures
- Condition temporelle
  - Code temporel: 4/5/22, 23:59
Dans ce cas, la protection des données sensibles exclut tout ensemble de données créé avant le 4 mai 2022 à 23h59. Parmi les ensembles de données créés après cette date et cette heure, la protection des données sensibles ne profile que les ensembles de données datant d'au moins 24 heures.
Cliquez sur OK.
Si vous souhaitez ajouter d'autres planifications, cliquez sur Ajouter une planification, puis répétez les étapes précédentes.
Pour spécifier la priorité entre les planifications, réorganisez-les à l'aide des flèches vers le haut et vers le bas .

L'ordre des planifications spécifie comment les conflits entre les planifications sont résolus. Si un ensemble de données correspond aux filtres de deux planifications différentes, la planification située plus haut dans la liste des planifications détermine la fréquence de profilage de cet ensemble de données.

Remarque :Si votre mode de tarification de découverte est le mode d'abonnement, la fréquence à laquelle Sensitive Data Protection profile vos données est affectée par la capacité que vous avez achetée. Pour déterminer votre capacité de profilage quotidienne, consultez la section Surveiller l'utilisation. Si vous avez sous-provisionné la capacité, il est possible que les fréquences de profilage que vous avez définies dans vos planifications ne soient pas respectées. S'il existe un arriéré d'ensembles de données à profiler, l'ordre de planification ne dicte pas l'ordre dans lequel Sensitive Data Protection profile les ensembles de données de l'arriéré. Au lieu de cela, tous les ensembles de données concernés reçoivent un emplacement attribué de manière aléatoire dans la file d'attente.

Le dernier calendrier de la liste est toujours celui intitulé Calendrier par défaut. Cette planification par défaut couvre les ensembles de données de la portée sélectionnée qui ne correspondent à aucune des planifications que vous avez créées. Cette planification par défaut suit la fréquence de profilage par défaut du système.
Si vous souhaitez ajuster le calendrier par défaut, cliquez sur Modifier le calendrier, puis ajustez les paramètres si nécessaire.

Sélectionner un modèle d'inspection

Selon la manière dont vous souhaitez fournir une configuration d'inspection, choisissez l'une des options suivantes. Quelle que soit l'option choisie, la protection des données sensibles analyse vos données dans la région où elles sont stockées. Autrement dit, vos données ne quittent pas leur région d'origine.

Option 1: Créer un modèle d'inspection

Choisissez cette option si vous souhaitez créer un modèle d'inspection dans la région global.

Cliquez sur Créer un modèle d'inspection.
Facultatif: Pour modifier la sélection par défaut des infoTypes, cliquez sur Gérer les infoTypes.

Pour en savoir plus sur la gestion des infoTypes intégrés et personnalisés, consultez la section Gérer les infoTypes via la console Google Cloud.

Vous devez sélectionner au moins un infoType pour continuer.
Facultatif : poursuivez la configuration du modèle d'inspection en ajoutant des ensembles de règles et en définissant un seuil de confiance. Pour en savoir plus, consultez la section Configurer la détection.

Lorsque la protection des données sensibles crée la configuration d'analyse, elle stocke ce nouveau modèle d'inspection dans la région global.

Option 2: Utiliser un modèle d'inspection existant

Choisissez cette option si vous disposez de modèles d'inspection existants que vous souhaitez utiliser.

Cliquez sur Sélectionner un modèle d'inspection existant.
Saisissez le nom complet de la ressource du modèle d'inspection que vous souhaitez utiliser. Le champ Region (Région) est automatiquement renseigné avec le nom de la région dans laquelle votre modèle d'inspection est stocké.
Le modèle d'inspection que vous saisissez doit se trouver dans la même région que les données à profiler.

Pour respecter la résidence des données, Sensitive Data Protection n'utilise pas de modèle d'inspection en dehors de la région où il est stocké.

Pour trouver le nom complet de ressource d'un modèle d'inspection, procédez comme suit:
1. Accédez à la liste de vos modèles d'inspection. Cette page s'ouvre dans un nouvel onglet.
  
  Accéder aux modèles d'inspection
2. Basculez vers le projet contenant le modèle d'inspection que vous souhaitez utiliser.
3. Dans l'onglet Modèles, cliquez sur l'ID du modèle que vous souhaitez utiliser.
4. Sur la page qui s'affiche, copiez le nom complet de la ressource du modèle. Il a le format suivant:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. Sur la page Créer une configuration d'analyse, dans le champ Nom du modèle, collez le nom complet de la ressource du modèle.
Pour ajouter un modèle d'inspection pour une autre région, cliquez sur Ajouter un modèle d'inspection, puis saisissez le nom complet de la ressource du modèle. Répétez cette opération pour chaque région pour laquelle vous disposez d'un modèle d'inspection dédié.
Facultatif: ajoutez un modèle d'inspection stocké dans la région global. La protection des données sensibles utilise automatiquement ce modèle pour les données des régions où vous ne disposez pas d'un modèle d'inspection dédié.

Attention:Si vous n'incluez pas de modèle d'inspection stocké dans la région global, la protection des données sensibles ne peut pas profiler les données dans les régions qui ne disposent pas d'un modèle d'inspection dédié. Pour en savoir plus, consultez la section Considérations relatives à la résidence des données.

Ajouter des actions

Dans les sections suivantes, vous spécifiez les actions que vous souhaitez que la protection des données sensibles effectue après avoir généré les profils de données.

Pour en savoir plus sur la façon dont d'autres services Google Cloud peuvent vous facturer la configuration d'actions, consultez la page Tarifs pour l'exportation de profils de données.

Publier dans Google Security Operations

Les métriques collectées à partir des profils de données peuvent apporter du contexte aux résultats de Google Security Operations. Le contexte ajouté peut vous aider à déterminer les problèmes de sécurité les plus importants à résoudre.

Par exemple, si vous examinez un agent de service particulier, Google Security Operations peut déterminer les ressources auxquelles il a accédé et si l'une de ces ressources contenait des données hautement sensibles.

Pour envoyer vos profils de données à votre instance Google Security Operations, activez Google Security Operations.

Si aucune instance Google Security Operations n'est activée pour votre organisation (via le produit autonome ou via Security Command Center Enterprise), l'activation de cette option n'a aucun effet.

Publier dans Security Command Center

Les résultats des profils de données fournissent un contexte lorsque vous triez et développez des plans de réponse pour vos résultats sur les failles et les menaces dans Security Command Center.

Avant de pouvoir utiliser cette action, Security Command Center doit être activé au niveau de l'organisation. Activer Security Command Center au niveau de l'organisation permet de transmettre les résultats issus de services intégrés tels que la protection des données sensibles. Sensitive Data Protection est compatible avec Security Command Center dans tous les niveaux de service.

Si Security Command Center n'est pas activé au niveau de l'organisation, les résultats de la protection des données sensibles ne s'affichent pas dans Security Command Center. Pour en savoir plus, consultez Vérifier le niveau d'activation de Security Command Center.

Pour envoyer les résultats de vos profils de données à Security Command Center, assurez-vous que l'option Publier dans Security Command Center est activée.

Pour en savoir plus, consultez la section Publier des profils de données dans Security Command Center.

Enregistrer des copies des profils de données dans BigQuery

Activer l'option Enregistrer des copies des profils de données dans BigQuery vous permet de conserver une copie ou un historique de tous vos profils générés. Cela peut être utile pour créer des rapports d'audit et visualiser les profils de données. Vous pouvez également charger ces informations dans d'autres systèmes.

Cette option vous permet également de regrouper tous vos profils de données dans une seule vue, quelle que soit la région dans laquelle se trouvent vos données. Si vous désactivez cette option, vous pouvez toujours afficher les profils de données dans la console Google Cloud. Toutefois, dans la console Google Cloud, vous ne pouvez sélectionner qu'une région à la fois et n'afficher que les profils de données de cette région.

Pour exporter des copies des profils de données vers une table BigQuery, procédez comme suit:

Activez l'option Enregistrer des copies des profils de données dans BigQuery.
Saisissez les détails de la table BigQuery dans laquelle vous souhaitez enregistrer les profils de données:
- Pour Project ID (ID du projet), saisissez l'ID d'un projet existant vers lequel vous souhaitez exporter les profils de données.
- Pour ID de l'ensemble de données, saisissez le nom d'un ensemble de données existant dans le projet dans lequel vous souhaitez exporter les profils de données.
- Pour ID de table, saisissez un nom pour la table BigQuery vers laquelle les profils de données seront exportés. Si vous n'avez pas créé cette table, la protection des données sensibles la crée automatiquement pour vous à l'aide du nom que vous fournissez.

Sensitive Data Protection commence à exporter les profils à partir du moment où vous activez cette option. Les profils générés avant que vous n'activiez l'exportation ne sont pas enregistrés dans BigQuery.

Publier dans Pub/Sub

Activer Publier dans Pub/Sub vous permet d'effectuer des actions programmatiques en fonction des résultats de profilage. Vous pouvez utiliser les notifications Pub/Sub pour développer un workflow permettant de détecter et de corriger les résultats présentant un risque ou une sensibilité de données importants.

Pour envoyer des notifications à un sujet Pub/Sub, procédez comme suit:

Activez Publier dans Pub/Sub.

Une liste d'options s'affiche. Chaque option décrit un événement qui entraîne l'envoi d'une notification à Pub/Sub par la protection des données sensibles.
Sélectionnez les événements qui doivent déclencher une notification Pub/Sub.

Si vous sélectionnez Envoyer une notification Pub/Sub à chaque mise à jour d'un profil, la protection des données sensibles envoie une notification en cas de modification du niveau de sensibilité, du niveau de risque des données, des infoTypes détectés, de l'accès public et d'autres métriques importantes dans le profil.
Pour chaque événement que vous sélectionnez, procédez comme suit:
1. Saisissez le nom du sujet. Le nom doit respecter le format suivant:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Remplacez les éléments suivants :
  - PROJECT_ID: ID du projet associé au sujet Pub/Sub.
  - TOPIC_ID: ID du sujet Pub/Sub.
2. Spécifiez si vous souhaitez inclure le profil complet de l'ensemble de données dans la notification ou uniquement le nom complet de la ressource de l'ensemble de données qui a été profilé.
3. Définissez les niveaux de sensibilité et de risque liés aux données minimaux qui doivent être atteints pour que Sensitive Data Protection envoie une notification.
4. Indiquez si une seule ou les deux conditions de risque et de sensibilité des données doivent être remplies. Par exemple, si vous choisissez AND, les conditions de risque de données et de sensibilité doivent être remplies avant que Sensitive Data Protection n'envoie une notification.

Remarque : Votre agent de service doit disposer d'un accès de publication sur le sujet Pub/Sub. Le rôle Diffuseur Pub/Sub (roles/pubsub.publisher) est un exemple de rôle disposant d'un accès de publication. Si vous ne disposez pas encore d'agent de service, la protection des données sensibles vous permet d'en créer un ultérieurement sur la page Créer une configuration d'analyse. En cas de problèmes de configuration ou d'autorisation avec le sujet Pub/Sub, la protection des données sensibles réessaie d'envoyer la notification Pub/Sub pendant deux semaines maximum. Au bout de deux semaines, la notification est supprimée.

Gérer le conteneur et la facturation de l'agent de service

Dans cette section, vous spécifiez le projet à utiliser en tant que conteneur d'agent de service. Vous pouvez demander à la protection des données sensibles de créer automatiquement un projet, ou bien sélectionner un projet existant.

Que vous utilisiez un agent de service nouvellement créé ou que vous réutilisiez un agent existant, assurez-vous qu'il dispose d'un accès en lecture aux données à profiler.

Créer automatiquement un projet

Si vous ne disposez pas des autorisations nécessaires pour créer un projet dans l'organisation, vous devez sélectionner un projet existant ou obtenir les autorisations requises. Pour en savoir plus sur les autorisations requises, consultez la section Rôles requis pour utiliser des profils de données au niveau de l'organisation ou des dossiers.

Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, procédez comme suit:

Dans le champ Conteneur de l'agent de service, examinez l'ID de projet suggéré et modifiez-le si nécessaire.
Cliquez sur Créer.
(Facultatif) Modifiez le nom du projet par défaut.
Sélectionnez le compte à facturer pour toutes les opérations facturables associées à ce nouveau projet, y compris les opérations non liées à la découverte.

Remarque :Si vous disposez déjà d'un abonnement de découverte au niveau de l'organisation, ce compte de facturation est toujours requis pour créer le projet. Toutefois, pour toutes les opérations de découverte, vous êtes facturé via le projet associé à votre abonnement.
Cliquez sur Créer.

La protection des données sensibles crée le projet. L'agent de service de ce projet servira à s'authentifier auprès de Sensitive Data Protection et d'autres API.

Sélectionner un projet existant

Pour sélectionner un projet existant comme conteneur d'agent de service, cliquez sur le champ Service agent container (Conteneur de l'agent de service) et sélectionnez le projet.

Définir l'emplacement de stockage de la configuration

Cliquez sur la liste Emplacement des ressources, puis sélectionnez la région dans laquelle vous souhaitez stocker cette configuration d'analyse. Toutes les configurations d'analyse que vous créerez ultérieurement seront également stockées à cet emplacement.

L'emplacement où vous choisissez de stocker votre configuration d'analyse n'affecte pas les données à analyser. Vos données sont analysées dans la région dans laquelle elles sont stockées. Pour en savoir plus, consultez la section Considérations relatives à la résidence des données.

Vérifier et créer

Si vous souhaitez vous assurer que le profilage ne démarre pas automatiquement après la création de la configuration d'analyse, sélectionnez Créer une analyse en mode suspendu.
Cette option est utile dans les cas suivants:
- Votre administrateur Google Cloud doit toujours accorder l'accès au profilage de données à l'agent de service.
- Vous souhaitez créer plusieurs configurations d'analyse et que certaines d'entre elles doivent remplacer d'autres.
- Vous avez choisi d'enregistrer des profils de données dans BigQuery et vous souhaitez vous assurer que l'agent de service dispose d'un accès en écriture à votre table de sortie.
- Vous avez configuré des notifications Pub/Sub et vous souhaitez accorder un accès de publication à l'agent de service.
Vérifiez vos paramètres, puis cliquez sur Créer.
Sensitive Data Protection crée la configuration d'analyse et l'ajoute à la liste des configurations d'analyse de découverte.

Pour afficher ou gérer vos configurations d'analyse, consultez Gérer les configurations d'analyse.

Étape suivante

Si vous ne disposez pas du rôle "Administrateur de l'organisation" (roles/resourcemanager.organizationAdmin) ou "Administrateur de sécurité" (roles/iam.securityAdmin), une personne disposant de l'un de ces rôles doit accorder l'accès au profilage des données à votre agent de service.
Découvrez comment gérer les profils de données.
Découvrez comment gérer les configurations d'analyse.
Découvrez comment recevoir et analyser les messages Pub/Sub publiés par le profileur de données.
Découvrez comment résoudre les problèmes liés aux profils de données.