Esta página descreve como configurar a descoberta de dados da Vertex AI no nível do projeto. Se você quiser criar um perfil de uma organização ou pasta, consulte Criar perfil de dados da Vertex AI em uma organização ou pasta.
Para participar dessa prévia, envie um e-mail para cloud-dlp-feedback@google.com.
Para mais informações sobre o serviço de descoberta, consulte Perfis de dados.
Antes de começar
Verifique se a API Cloud Data Loss Prevention está ativada no seu projeto:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
Confirme se você tem as permissões do IAM necessárias para configurar perfis de dados no nível do projeto.
É necessário ter um modelo de inspeção em cada região com dados para criar o perfil. Se você quiser usar um único modelo para várias regiões, use um modelo armazenado na região
global. Se as políticas organizacionais impedirem a criação de um modelo de inspeção na regiãoglobal, você precisará definir um modelo de inspeção dedicado para cada região. Para mais informações, consulte Considerações sobre a residência de dados.Esta tarefa permite criar um modelo de inspeção apenas na região
global. Se você precisar de modelos de inspeção dedicados para uma ou mais regiões, crie esses modelos antes de realizar esta tarefa.É possível configurar a Proteção de dados sensíveis para enviar notificações ao Pub/Sub quando determinados eventos ocorrerem, como quando a Proteção de dados sensíveis criar o perfil de um novo conjunto de dados. Se você quiser usar esse recurso, primeiro crie um tópico do Pub/Sub.
Criar uma configuração de verificação
Acesse a página Criar configuração de verificação.
Acesse seu projeto. Na barra de ferramentas, clique no seletor de projetos e selecione seu projeto.
As seções a seguir fornecem mais informações sobre as etapas na página Criar configuração de verificação. No final de cada seção, clique em Continuar.
Selecione um tipo de descoberta
Selecione Vertex AI.
Selecionar escopo
Escolha uma destas opções:Se você quiser verificar um único conjunto de dados, selecione Verificar um conjunto de dados.
Para cada conjunto de dados, é possível ter apenas uma configuração de verificação de recurso único. Para mais informações, consulte Criar perfil de um único recurso de dados.
Preencha os detalhes do conjunto de dados que você quer analisar.
Se você quiser realizar o perfil padrão no nível do projeto, selecione Verificar o projeto selecionado.
Gerenciar programações
Se a frequência de criação de perfil padrão atender às suas necessidades, pule esta seção da página Criar configuração de verificação.
Configure esta seção pelas seguintes razões:
- Para fazer ajustes detalhados na frequência de criação de perfis de todos os seus dados ou de determinados subconjuntos.
- Para especificar os conjuntos de dados que você não quer criar perfis.
- Para especificar os conjuntos de dados que você não quer que sejam criados perfis mais de uma vez.
Para fazer ajustes detalhados na frequência de criação de perfil, siga estas etapas:
- Clique em Adicionar programação.
Na seção Filtros, você define um ou mais filtros que especificam quais conjuntos de dados estão no escopo da programação.
Especifique um ID do projeto ou uma expressão regular que especifique um ou mais projetos. As expressões regulares precisam seguir a sintaxe RE2.
Por exemplo, se você quiser que todos os conjuntos de dados de um projeto sejam incluídos no filtro, insira o ID do projeto no campo ID do projeto.
Se quiser adicionar mais filtros, clique em Adicionar filtro e repita esta etapa.
Clique em Frequência.
Na seção Frequência, especifique se o serviço de descoberta precisa criar o perfil dos conjuntos de dados selecionados e, em caso afirmativo, com que frequência:
Se você não quiser que os conjuntos de dados sejam sempre criados, desative a opção Criar perfil desses dados.
Se você quiser que os conjuntos de dados sejam analisados pelo menos uma vez, deixe a opção Fazer o perfil desses dados ativada.
Nos campos seguintes desta seção, você especifica se o sistema precisa criar um novo perfil dos seus dados e quais eventos devem acionar uma operação de reprofile. Para mais informações, consulte Frequência de geração de perfil de dados.
- Em Em uma programação, especifique com que frequência você quer que os conjuntos de dados sejam redimensionados. Os conjuntos de dados são redimensionados, mesmo que tenham passado por mudanças.
- Em Quando o modelo de inspeção muda, especifique se você quer que seus dados sejam
reformulados quando o modelo de inspeção associado for atualizado e, se sim, com que
frequência.
Uma mudança no modelo de inspeção é detectada quando ocorre uma das seguintes situações:
- O nome de um modelo de inspeção muda na configuração da verificação.
- O
updateTimede um modelo de inspeção muda.
Por exemplo, se você definir um modelo de inspeção para a região
us-west1e atualizar esse modelo de inspeção, apenas os dados na regiãous-west1serão reformulados.
Opcional: clique em Condições.
Na seção Condições, você especifica as condições que os conjuntos de dados, definidos nos filtros, precisam atender antes que a Proteção de dados sensíveis crie perfis deles.
Se necessário, defina o seguinte:
Condição mínima: se você quiser atrasar a criação de perfil de um conjunto de dados até que ele atinja uma determinada idade, ative essa opção. Em seguida, insira a duração mínima.
Condição de tempo: se você não quiser que conjuntos de dados antigos sejam sempre criados, ative essa opção. Em seguida, use o seletor de data para selecionar uma data e hora. Qualquer conjunto de dados criado na data/hora selecionada ou antes dela é excluído da criação de perfil.
Exemplos de condições
Suponha que você tenha a seguinte configuração:
Condições mínimas
- Duração mínima: 24 horas
Condição de tempo
- Carimbo de data/hora: 4/05/2022, 23h59
Nesse caso, a Proteção de dados sensíveis exclui qualquer conjunto de dados criado até 4 de maio de 2022, às 23h59. Entre os conjuntos de dados criados após essa data e hora, a Proteção de Dados Sensíveis cria perfis apenas para os conjuntos de dados com pelo menos 24 horas.
Clique em Concluído.
Se você quiser adicionar mais programações, clique em Adicionar programação e repita as etapas anteriores.
Para especificar a precedência entre as programações, reordene-as usando as setas para cima e para baixo .
A ordem das programações especifica como os conflitos entre elas são resolvidos. Se um conjunto de dados corresponder aos filtros de duas programações diferentes, a programação mais alta na lista de programações vai determinar a frequência de criação de perfil para esse conjunto de dados.
O último horário na lista é sempre o identificado como Programação padrão. Essa programação padrão abrange os conjuntos de dados no seu escopo selecionado que não correspondem a nenhuma das programações criadas. Essa programação padrão segue a frequência padrão de criação de perfis do sistema.
Se você quiser ajustar a programação padrão, clique em Editar programação e ajuste as configurações conforme necessário.
Selecionar modelo de inspeção
Dependendo de como você quer fornecer uma configuração de inspeção, escolha uma das seguintes opções. Independentemente da opção escolhida, a Proteção de dados sensíveis verifica os dados na região em que eles estão armazenados. Ou seja, seus dados não saem da região de origem.
Opção 1: criar um modelo de inspeção
Escolha essa opção se quiser criar um novo modelo de inspeção na região global.
- Clique em Criar novo modelo de inspeção.
Opcional: para modificar a seleção padrão de infoTypes, clique em Gerenciar infoTypes.
Para mais informações sobre como gerenciar infoTypes integrados e personalizados, consulte Gerenciar infoTypes pelo console do Google Cloud.
É preciso selecionar pelo menos um infoType para continuar.
Opcional: configure o modelo de inspeção ainda mais adicionando conjuntos de regras e definindo um limite de confiança. Para mais informações, consulte Configurar detecção.
Quando a Proteção de dados sensíveis cria a configuração de verificação, ela armazena esse
novo modelo de inspeção na região global.
Opção 2: usar um modelo de inspeção existente
Escolha essa opção se você tiver modelos de inspeção que quer usar.
- Clique em Selecionar modelo de inspeção existente.
- Insira o nome completo do recurso do modelo de inspeção que você quer usar.
O campo Região é preenchido automaticamente com o nome da região
em que o modelo de inspeção está armazenado.
O modelo de inspeção inserido precisa estar na mesma região dos dados que vão receber o perfil.
Para respeitar a residência de dados, a Proteção de dados sensíveis não usa um modelo de inspeção fora da região em que ele está armazenado.
Para encontrar o nome completo do recurso de um modelo de inspeção, siga estas etapas:
- Acesse a lista de modelos de inspeção. Essa página é aberta em uma guia separada.
- Alterne para o projeto que contém o modelo de inspeção que você quer usar.
- Na guia Modelos, clique no ID do modelo que você quer usar.
- Na página exibida, copie o nome completo do recurso do modelo. O
nome completo do recurso segue este formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
- Na página Criar configuração de verificação, no campo Nome do modelo, cole o nome completo do recurso do modelo.
- Acesse a lista de modelos de inspeção. Essa página é aberta em uma guia separada.
- Para adicionar um modelo de inspeção para outra região, clique em Adicionar modelo de inspeção e insira o nome completo do recurso. Repita esse procedimento para cada região em que você tem um modelo de inspeção dedicado.
- Opcional: adicione um modelo de inspeção armazenado na região
global. A Proteção de dados sensíveis usa automaticamente esse modelo para dados em regiões em que você não tem um modelo de inspeção dedicado.
Adicionar ações
Nas próximas seções, você especifica as ações que quer que a Proteção de dados sensíveis realize depois de gerar os perfis de dados.
Para saber como outros serviços do Google Cloud podem cobrar por ações de configuração, consulte Preços para exportar perfis de dados.
Publicar no Security Command Center
As descobertas dos perfis de dados fornecem contexto ao fazer a triagem e desenvolver planos de resposta para suas descobertas de vulnerabilidade e ameaças no Security Command Center.
Antes de usar essa ação, o Security Command Center precisa ser ativado no nível da organização. Ativar o Security Command Center no nível da organização ativa o fluxo de descobertas de serviços integrados, como a Proteção de dados sensíveis. A Proteção de Dados Sensíveis funciona com o Security Command Center em todos os níveis de serviço.Se o Security Command Center não estiver ativado no nível da organização, as descobertas da proteção de dados confidenciais não vão aparecer no Security Command Center. Para mais informações, consulte Verificar o nível de ativação do Security Command Center.
Para enviar os resultados dos perfis de dados para o Security Command Center, verifique se a opção Publicar no Security Command Center está ativada.
Para mais informações, consulte Publicar perfis de dados no Security Command Center.
Salvar cópias do perfil de dados no BigQuery
Ativar a opção Salvar cópias do perfil de dados no BigQuery permite manter uma cópia salva ou o histórico de todos os perfis gerados. Isso pode ser útil para criar relatórios de auditoria e visualizar perfis de dados. Também é possível carregar essas informações em outros sistemas.
Além disso, essa opção permite ver todos os perfis de dados em uma única visualização, independentemente da região dos dados. Se você desativar essa opção, ainda poderá acessar os perfis de dados no console do Google Cloud. No console do Google Cloud, você seleciona uma região por vez e vê apenas os perfis de dados dela.
Para exportar cópias dos perfis de dados para uma tabela do BigQuery, siga estas etapas:
Ative a opção Salvar cópias do perfil de dados no BigQuery.
Insira os detalhes da tabela do BigQuery em que você quer salvar os perfis de dados:
Em ID do projeto, insira o ID de um projeto para o qual você quer exportar os perfis de dados.
Em ID do conjunto de dados, insira o nome de um conjunto de dados no projeto para onde você quer exportar os perfis de dados.
Em ID da tabela, insira um nome para a tabela do BigQuery para onde os perfis de dados serão exportados. Se você não tiver criado essa tabela, a Proteção de dados sensíveis vai criar automaticamente usando o nome fornecido.
A Proteção de Dados Sensíveis começa a exportar perfis a partir do momento em que você ativa essa opção. Os perfis gerados antes da ativação da exportação não são salvos no BigQuery.
Publicar no Pub/Sub
Ativar a opção Publicar no Pub/Sub permite que você realize ações programáticas com base nos resultados do perfil. Você pode usar as notificações do Pub/Sub para desenvolver um fluxo de trabalho para detectar e corrigir as descobertas com risco ou sensibilidade de dados significativos.
Para enviar notificações a um tópico do Pub/Sub, siga estas etapas:
Ative a opção Publicar no Pub/Sub.
Uma lista de opções vai aparecer. Cada opção descreve um evento que faz com que a Proteção de dados sensíveis envie uma notificação para o Pub/Sub.
Selecione os eventos que vão acionar uma notificação do Pub/Sub.
Se você selecionar Enviar uma notificação do Pub/Sub sempre que um perfil for atualizado, a Proteção de dados sensíveis vai enviar uma notificação quando houver uma mudança no nível de sensibilidade, no nível de risco de dados, nos infoTypes detectados, no acesso público e em outras métricas importantes no perfil.
Para cada evento selecionado, siga estas etapas:
Insira o nome do tópico. O nome precisa estar no seguinte formato:
projects/PROJECT_ID/topics/TOPIC_IDSubstitua:
- PROJECT_ID: o ID do projeto associado ao tópico do Pub/Sub.
- TOPIC_ID: o ID do tópico do Pub/Sub.
Especifique se você quer incluir o perfil completo do conjunto de dados na notificação ou apenas o nome completo do recurso do conjunto de dados que foi criado.
Defina os níveis mínimos de risco e sensibilidade dos dados que precisam ser atendidos para que a Proteção de Dados Sensíveis envie uma notificação.
Especifique se apenas uma ou ambas as condições de risco e sensibilidade dos dados precisam ser atendidas. Por exemplo, se você escolher
AND, o risco de dados e as condições de sensibilidade precisam ser atendidos antes que a Proteção de Dados Sensíveis envie uma notificação.
Definir o local para armazenar a configuração
Clique na lista Local do recurso e selecione a região em que você quer armazenar essa configuração de verificação. Todas as configurações de verificação que você criar mais tarde também serão armazenadas nesse local.
O local em que você decide armazenar a configuração da verificação não afeta os dados a serem verificados. Seus dados são verificados na mesma região em que estão armazenados. Para mais informações, consulte Considerações sobre a residência de dados.
Revisar e criar
- Se você não quiser que a criação de perfil seja iniciada automaticamente após
criar a configuração da verificação, selecione Criar verificação no modo pausado.
Essa opção é útil nos seguintes casos:
- Você optou por salvar perfis de dados no BigQuery e quer garantir que o agente de serviço tenha acesso de gravação à tabela de saída.
- Você configurou as notificações do Pub/Sub e quer conceder acesso de publicação ao agente de serviço.
- Revise suas configurações e clique em Criar.
A Proteção de Dados Sensíveis cria a configuração de verificação e a adiciona à lista de configurações de verificação de descoberta.
Para conferir ou gerenciar suas configurações de verificação, consulte Gerenciar configurações de verificação.