Crie perfis de dados do Vertex AI num único projeto

Esta página descreve como configurar a deteção de dados do Vertex AI ao nível do projeto. Se quiser criar um perfil de uma organização ou uma pasta, consulte o artigo Crie um perfil dos dados do Vertex AI numa organização ou numa pasta.

Para mais informações sobre o serviço de deteção, consulte o artigo Perfis de dados.

Antes de começar

1. Certifique-se de que a API Cloud Data Loss Prevention está ativada no seu projeto:

   Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

   In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Roles required to select or create a project

   • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
   • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

   Go to project selector

   Verify that billing is enabled for your Google Cloud project.

   Enable the required API.

   Roles required to enable APIs

   To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

   Enable the API

   In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Roles required to select or create a project

   • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
   • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

   Go to project selector

   Verify that billing is enabled for your Google Cloud project.

   Enable the required API.

   Roles required to enable APIs

   To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

   Enable the API

   1. Confirme que tem as autorizações de IAM necessárias para configurar perfis de dados ao nível do projeto.

   2. Tem de ter um modelo de inspeção em cada região onde tem dados a serem criados perfis. Se quiser usar um único modelo para várias regiões, pode usar um modelo armazenado na região global. Se as políticas organizacionais impedirem a criação de um modelo de inspeção na região global, tem de definir um modelo de inspeção dedicado para cada região. Para mais informações, consulte as considerações sobre a residência de dados.

      Esta tarefa permite-lhe criar um modelo de inspeção apenas na região global. Se precisar de modelos de inspeção dedicados para uma ou mais regiões, tem de criar esses modelos antes de realizar esta tarefa.

   3. Pode configurar a proteção de dados confidenciais para enviar notificações para o Pub/Sub quando ocorrem determinados eventos, como quando a proteção de dados confidenciais cria um perfil de um novo conjunto de dados. Se quiser usar esta funcionalidade, tem de criar primeiro um tópico do Pub/Sub.

   Crie uma configuração de análise

   1. Aceda à página Criar configuração de análise.

      Aceda a Criar configuração de análise

   2. Aceda ao seu projeto. Na barra de ferramentas, clique no seletor de projetos e selecione o seu projeto.

   As secções seguintes fornecem mais informações sobre os passos na página Criar configuração de análise. No final de cada secção, clique em Continuar.

   Selecione um tipo de descoberta

   Selecione Vertex AI.

   Selecione o âmbito

   Efetue um dos seguintes passos:

   • Se quiser analisar um único conjunto de dados, selecione Analisar um conjunto de dados.

     Para cada conjunto de dados, só pode ter uma configuração de análise de recurso único. Para mais informações, consulte o artigo Crie um perfil de um único recurso de dados.

     Preencha os detalhes do conjunto de dados que quer criar um perfil.

   • Se quiser realizar a criação de perfis padrão ao nível do projeto, selecione Analisar projeto selecionado.

   Gerir horários

   Se a frequência de criação de perfis predefinida for adequada às suas necessidades, pode ignorar esta secção da página Criar configuração de análise.

   Configure esta secção pelos seguintes motivos:

   • Para fazer ajustes detalhados à frequência de criação de perfis de todos os seus dados ou de determinados subconjuntos dos seus dados.
   • Para especificar os conjuntos de dados que não quer criar perfis.
   • Para especificar os conjuntos de dados que não quer que sejam analisados mais do que uma vez.

   Para fazer ajustes detalhados à frequência da criação de perfis, siga estes passos:

   1. Clique em Adicionar programação.

   2. Na secção Filtros, define um ou mais filtros que especificam que conjuntos de dados estão no âmbito da agenda. Um conjunto de dados é considerado no âmbito da agenda se corresponder a, pelo menos, um dos filtros definidos.

      Para configurar um filtro, especifique um ID do projeto ou uma expressão regular que especifique um ou mais projetos.

      As expressões regulares têm de seguir a sintaxe RE2.

      Por exemplo, se quiser que todos os conjuntos de dados num projeto sejam incluídos no filtro, introduza o ID do projeto no campo ID do projeto.

      Se quiser adicionar mais filtros, clique em Adicionar filtro e repita este passo.

   3. Clique em Frequência.

   4. Na secção Frequência, especifique se o serviço de deteção deve criar perfis dos conjuntos de dados que selecionou e, em caso afirmativo, com que frequência:

      • Se nunca quiser que os conjuntos de dados sejam analisados, desative a opção Do profile this data (Analisar estes dados).

      • Se quiser que os conjuntos de dados sejam analisados, pelo menos, uma vez, mantenha a opção Analisa estes dados ativada.

        Nos campos seguintes desta secção, especifica se o sistema deve voltar a criar perfis dos seus dados e que eventos devem acionar uma operação de recriação de perfis. Para mais informações, consulte o artigo Frequência de geração do perfil de dados.

        1. Para Num horário, especifique a frequência com que quer que os conjuntos de dados sejam redefinidos. Os conjuntos de dados são redefinidos, independentemente de terem sofrido alterações.
        2. Para Quando inspecionar alterações ao modelo, especifique se quer que os dados sejam redefinidos quando o modelo de inspeção associado for atualizado e, se for o caso, com que frequência.

           É detetada uma alteração ao modelo de inspeção quando ocorre uma das seguintes situações:

           • O nome de um modelo de inspeção é alterado na configuração da análise.
           • O updateTime de um modelo de inspeção é alterado.

        Por exemplo, se definir um modelo de inspeção para a região us-west1 e atualizar esse modelo de inspeção, apenas os dados na região us-west1 vão ser redefinidos.

   5. Opcional: clique em Condições.

      Na secção Condições, especifica as condições que os conjuntos de dados, definidos nos seus filtros, têm de cumprir antes de o Google Sensitive Data Protection os perfilar.

      Se necessário, defina o seguinte:

      • Condição mínima: se quiser atrasar a criação de perfis de um conjunto de dados até atingir uma determinada idade, ative esta opção. Em seguida, introduza a duração mínima.

      • Condição de tempo: se não quiser que os conjuntos de dados antigos sejam perfilados, ative esta opção. Em seguida, use o selecionador de datas para selecionar uma data e uma hora. Qualquer conjunto de dados criado na data/hora selecionada ou antes é excluído da criação de perfis.

      Exemplos de condições

      Suponhamos que tem a seguinte configuração:

      • Condições mínimas

        • Duração mínima: 24 horas

      • Condição de tempo

        • Data/hora: 04/05/22, 23:59

      Neste caso, a proteção de dados confidenciais exclui todos os conjuntos de dados que foram criados a 4 de maio de 2022, às 23:59, ou antes. Entre os conjuntos de dados criados após essa data e hora, os perfis de proteção de dados confidenciais apenas analisam os conjuntos de dados com, pelo menos, 24 horas.

   6. Clique em Concluído.

   7. Opcional: para adicionar mais programações, clique em Adicionar programação e repita os passos anteriores.

   8. Para especificar a precedência entre horários, reordene-os com as setas para arrow_upward cima e para arrow_downward baixo.

      A ordem dos horários especifica como os conflitos entre horários são resolvidos. Se um conjunto de dados corresponder aos filtros de dois agendamentos diferentes, o agendamento mais acima na lista de agendamentos determina a frequência da criação de perfis para esse conjunto de dados.

   9. Opcional: edite ou desative a Programação geral.

      O último horário na lista é o horário geral. Esta programação abrange os conjuntos de dados no âmbito selecionado que não correspondem a nenhuma das programações que criou. A programação geral segue a frequência de criação de perfis predefinida do sistema.

      • Para ajustar a programação geral, clique em edit Editar programação e, de seguida, ajuste as definições conforme necessário.
      • Para impedir que a proteção de dados confidenciais crie perfis de recursos cobertos pela programação geral, desative a opção Criar perfis dos recursos que não correspondem a nenhuma programação personalizada.

   Selecione o modelo de inspeção

   Dependendo da forma como quer fornecer uma configuração de inspeção, escolha uma das seguintes opções. Independentemente da opção escolhida, a Proteção de dados confidenciais analisa os seus dados na região onde esses dados estão armazenados. Ou seja, os seus dados não saem da respetiva região de origem.

   Opção 1: crie um modelo de inspeção

   Escolha esta opção se quiser criar um novo modelo de inspeção na região global.

   1. Clique em Criar novo modelo de inspeção.

   2. Opcional: para modificar a seleção predefinida de infoTypes, clique em Gerir infoTypes.

      Para mais informações sobre como gerir infoTypes incorporados e personalizados, consulte o artigo Faça a gestão de infoTypes através da Google Cloud consola.

      Tem de ter, pelo menos, um infoType selecionado para continuar.

   3. Opcional: configure ainda mais o modelo de inspeção adicionando conjuntos de regras e definindo um limite de confiança. Para mais informações, consulte o artigo Configure a deteção.

   Quando a proteção de dados confidenciais cria a configuração da análise, armazena este novo modelo de inspeção na região global.

   Opção 2: use um modelo de inspeção existente

   Escolha esta opção se tiver modelos de inspeção existentes que queira usar.

   1. Clique em Selecionar modelo de inspeção existente.
   2. Introduza o nome completo do recurso do modelo de inspeção que quer usar. O campo Região é preenchido automaticamente com o nome da região onde o modelo de inspeção está armazenado.

      O modelo de inspeção que introduzir tem de estar na mesma região que os dados a serem perfilados.

      Para respeitar a residência de dados, a Proteção de dados confidenciais não usa um modelo de inspeção fora da região onde esse modelo está armazenado.

      Para encontrar o nome completo do recurso de um modelo de inspeção, siga estes passos:

      1. Aceda à lista de modelos de inspeção. Esta página é aberta num separador separado.

         Aceda aos modelos de inspeção

      2. Mude para o projeto que contém o modelo de inspeção que quer usar.
      3. No separador Modelos, clique no ID do modelo que quer usar.
      4. Na página aberta, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:

         projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

      5. Na página Criar configuração de análise, no campo Nome do modelo, cole o nome completo do recurso do modelo.
   3. Para adicionar um modelo de inspeção para outra região, clique em Adicionar modelo de inspeção e introduza o nome completo do recurso do modelo. Repita este processo para cada região onde tem um modelo de inspeção dedicado.
   4. Opcional: adicione um modelo de inspeção armazenado na região global. A proteção de dados confidenciais usa automaticamente esse modelo para dados em regiões onde não tem um modelo de inspeção dedicado.

   Adicione ações

   Esta secção descreve como especificar as ações que quer que a proteção de dados confidenciais execute após a criação de perfis de um conjunto de dados. Estas ações são úteis se quiser enviar estatísticas recolhidas a partir de perfis de dados para outros serviçosGoogle Cloud .

   Publicação no Security Command Center

   As conclusões dos perfis de dados fornecem contexto quando tria e desenvolve planos de resposta para as conclusões de vulnerabilidades e ameaças no Security Command Center.

   Antes de poder usar esta ação, o Security Command Center tem de ser ativado ao nível da organização. A ativação do Security Command Center ao nível da organização permite o fluxo de resultados de serviços integrados, como o Sensitive Data Protection. A proteção de dados confidenciais funciona com o Security Command Center em todos os níveis de serviço.

   Se o Security Command Center não estiver ativado ao nível da organização, as conclusões da Proteção de dados confidenciais não são apresentadas no Security Command Center. Para mais informações, consulte o artigo Verifique o nível de ativação do Security Command Center.

   Para enviar os resultados dos seus perfis de dados para o Security Command Center, certifique-se de que a opção Publicar no Security Command Center está ativada.

   Para mais informações, consulte o artigo Publique perfis de dados no Security Command Center.

   Guarde cópias dos perfis de dados no BigQuery

   A proteção de dados confidenciais guarda uma cópia de cada perfil de dados gerado numa tabela do BigQuery. Se não fornecer os detalhes da sua tabela preferencial, a proteção de dados confidenciais cria um conjunto de dados e uma tabela no projeto. Por predefinição, o conjunto de dados chama-se sensitive_data_protection_discovery e a tabela chama-se discovery_profiles.

   Esta ação permite-lhe manter um histórico de todos os perfis gerados. Este histórico pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também pode carregar estas informações noutros sistemas.

   Além disso, esta opção permite-lhe ver todos os seus perfis de dados numa única vista, independentemente da região em que os seus dados residem. Embora também possa ver os perfis de dados através da Google Cloud consola, a consola apresenta os perfis apenas numa região de cada vez.

   Quando a proteção de dados confidenciais não consegue criar um perfil de um conjunto de dados, tenta novamente periodicamente. Para minimizar o ruído nos dados exportados, a proteção de dados confidenciais exporta apenas os perfis gerados com êxito para o BigQuery.

   A proteção de dados confidenciais começa a exportar perfis a partir do momento em que ativa esta opção. Os perfis gerados antes de ativar a exportação não são guardados no BigQuery.

   Para ver exemplos de consultas que pode usar ao analisar perfis de dados, consulte o artigo Analise perfis de dados.

   Guarde os resultados da deteção de amostras no BigQuery

   A proteção de dados confidenciais pode adicionar resultados de amostra a uma tabela do BigQuery à sua escolha. Os resultados de amostra representam um subconjunto de todos os resultados e podem não representar todos os infoTypes que foram descobertos. Normalmente, o sistema gera cerca de 10 resultados de amostra por conjunto de dados, mas este número pode variar para cada execução de deteção.

   Cada descoberta inclui a string real (também denominada citação) que foi detetada e a respetiva localização exata.

   Esta ação é útil se quiser avaliar se a sua configuração de inspeção está a fazer corresponder corretamente o tipo de informações que quer sinalizar como confidenciais. Com os perfis de dados exportados e os resultados de amostra exportados, pode executar consultas para obter mais informações acerca dos itens específicos que foram denunciados, os infoTypes que corresponderam, as respetivas localizações exatas, os respetivos níveis de sensibilidade calculados e outros detalhes.

   Para guardar resultados de exemplo numa tabela do BigQuery, siga estes passos:

   1. Ative a opção Guardar resultados da descoberta de amostras no BigQuery.

   2. Introduza os detalhes da tabela do BigQuery onde quer guardar as conclusões de amostra.

      A tabela que especificar para esta ação tem de ser diferente da tabela usada para a ação Guardar cópias do perfil de dados no BigQuery.

      • Para o ID do projeto, introduza o ID de um projeto existente para o qual quer exportar as conclusões.

      • Para ID do conjunto de dados, introduza o nome de um conjunto de dados existente no projeto.

      • Para ID da tabela, introduza o nome da tabela do BigQuery onde quer guardar as conclusões. Se esta tabela não existir, a proteção de dados confidenciais cria-a automaticamente para si com o nome que indicar.

   Para obter informações sobre o conteúdo de cada descoberta guardada na tabela do BigQuery, consulte DataProfileFinding.

   Publicar no Pub/Sub

   A ativação da opção Publicar no Pub/Sub permite-lhe tomar medidas programáticas com base nos resultados da criação de perfis. Pode usar notificações do Pub/Sub para desenvolver um fluxo de trabalho para detetar e corrigir resultados com um risco ou uma sensibilidade de dados significativos.

   Para enviar notificações para um tópico do Pub/Sub, siga estes passos:

   1. Ative a opção Publicar no Pub/Sub.

      É apresentada uma lista de opções. Cada opção descreve um evento que faz com que a proteção de dados confidenciais envie uma notificação para o Pub/Sub.

   2. Selecione os eventos que devem acionar uma notificação do Pub/Sub.

      Se selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, a Proteção de dados confidenciais envia uma notificação quando existe uma alteração no nível de sensibilidade, no nível de risco de dados, nos infoTypes detetados, no acesso público e noutras métricas importantes no perfil.

   3. Para cada evento que selecionar, siga estes passos:

      1. Introduza o nome do tópico. O nome tem de estar no seguinte formato:

         projects/PROJECT_ID/topics/TOPIC_ID
         

         Substitua o seguinte:

         • PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
         • TOPIC_ID: o ID do tópico do Pub/Sub.

      2. Especifique se quer incluir o perfil completo do conjunto de dados na notificação ou apenas o nome do recurso completo do conjunto de dados que foi perfilado.

      3. Defina os níveis de risco e sensibilidade dos dados mínimos que têm de ser cumpridos para que a proteção de dados confidenciais envie uma notificação.

      4. Especifique se apenas uma ou ambas as condições de risco e sensibilidade dos dados têm de ser cumpridas. Por exemplo, se escolher AND, as condições de risco de dados e de sensibilidade têm de ser cumpridas antes que a Proteção de dados confidenciais envie uma notificação.

   Envie para o catálogo universal do Dataplex como aspetos

   Esta ação permite-lhe adicionar aspetos do catálogo universal do Dataplex a conjuntos de dados com perfis com base em estatísticas de perfis de dados. Esta ação só é aplicada a perfis novos e atualizados. Os perfis existentes que não são atualizados não são enviados para o catálogo universal do Dataplex.

   Quando ativa esta ação, a proteção de dados confidenciais anexa o aspeto Sensitive Data Protection profile à entrada do catálogo universal do Dataplex para cada conjunto de dados novo ou atualizado que perfila. Os aspetos gerados contêm estatísticas recolhidas a partir dos perfis de dados. Em seguida, pode pesquisar na sua organização e projetos entradas com valores de aspeto Sensitive Data Protection profile específicos.

   Para enviar os perfis de dados para o catálogo universal do Dataplex, certifique-se de que a opção Enviar para o catálogo do Dataplex como aspetos está ativada.

   Para mais informações, consulte o artigo Adicione aspetos do catálogo universal do Dataplex com base em estatísticas dos perfis de dados.

   Defina localizações de processamento alternativas para imagens

   Em geral, a proteção de dados confidenciais processa os seus dados na localização onde os dados são armazenados. No entanto, só é possível processar imagens numa região múltipla ou na região global. Se definir uma localização alternativa, a proteção de dados confidenciais usa a localização alternativa para processar imagens que não estão numa região multirregional ou na região global. Se ignorar esta secção, essas imagens não são processadas.

   Para definir localizações alternativas para o processamento de imagens, selecione uma ou ambas as seguintes opções:

   • Recorrer à multirregião: se não for possível processar uma imagem na respetiva localização original, a imagem é processada na multirregião que corresponde à localização original da imagem. Se a localização original da imagem não tiver uma região múltipla correspondente, a imagem é ignorada.
   • Recorrer à opção global: se não for possível processar uma imagem na respetiva localização original, a imagem é processada na região global.

   Se selecionar ambas as opções, a Proteção de dados confidenciais escolhe a localização a usar como localização alternativa.

   Defina a localização para armazenar a configuração

   Clique na lista Localização do recurso e selecione a região onde quer armazenar esta configuração de análise. Todas as configurações de análise que criar posteriormente também são armazenadas nesta localização.

   O local onde optar por armazenar a configuração da análise não afeta os dados a serem analisados. Os seus dados são analisados na mesma região onde são armazenados. Para mais informações, consulte as Considerações sobre a residência de dados.

   Verifique e crie

   1. Se quiser certificar-se de que a criação de perfis não é iniciada automaticamente depois de criar a configuração de análise, selecione Criar análise no modo pausado.

      Esta opção é útil nos seguintes casos:

      • Optou por guardar perfis de dados no BigQuery e quer certificar-se de que o agente de serviço tem acesso de escrita à tabela do BigQuery onde as cópias dos perfis de dados vão ser guardadas.
      • Optou por guardar as conclusões de deteção de amostras no BigQuery e quer certificar-se de que o agente de serviço tem acesso de escrita à tabela do BigQuery onde as conclusões de amostras vão ser guardadas.
      • Configurou notificações do Pub/Sub e quer conceder acesso de publicação ao agente do serviço.
   2. Reveja as definições e clique em Criar.

      A proteção de dados confidenciais cria a configuração de análise e adiciona-a à lista de configurações de análise de deteção.

   Para ver ou gerir as configurações de análise, consulte o artigo Gerir configurações de análise.

   O que se segue?

   4. Saiba como gerir perfis de dados.
   5. Saiba como gerir as configurações de análise.
   6. Saiba como receber e analisar mensagens do Pub/Sub publicadas pelo criador de perfis de dados.
   7. Saiba como resolver problemas com perfis de dados.
   8. Consulte os limites da criação de perfis de dados.