Ergebnisse der Überprüfung zum Schutz sensibler Daten an Data Catalog senden

In dieser Anleitung wird beschrieben, wie Sie mit dem Schutz sensibler Daten eine BigQuery-Tabelle prüfen und die Ergebnisse an Data Catalog senden.

Sie können zusätzlich ein Datenprofil erstellen, was sich von einer Prüfung unterscheidet. Sie können auch Datenprofile an Dataplex senden. Weitere Informationen finden Sie unter Tabellen in Dataplex anhand von Erkenntnissen aus Datenprofilen taggen.

Data Catalog ist ein skalierbarer Dienst zur Metadatenverwaltung, mit dem Sie alle Ihre Daten in Google Cloud schnell finden, verwalten und verstehen können.

Sensitive Data Protection ist in Data Catalog integriert. Wenn Sie mit einer Aktion zum Schutz sensibler Daten Ihre BigQuery-Tabellen nach sensiblen Daten prüfen, können Ergebnisse direkt in Form einer Tag-Vorlage an Data Catalog gesendet werden.

In dieser Anleitung führen Sie folgende Schritte aus:

  • Aktivieren Sie Data Catalog und den Schutz sensibler Daten.
  • Richten Sie den Schutz sensibler Daten ein, um eine BigQuery-Tabelle zu prüfen.
  • Sie konfigurieren eine Prüfung auf sensible Daten, um Prüfungsergebnisse an Data Catalog zu senden.

Weitere Informationen zu Data Catalog finden Sie in der Data Catalog-Dokumentation.

Wenn Sie die Ergebnisse von Datenprofilierungsaktionen (nicht Inspektionsjobs) an Dataplex senden möchten, lesen Sie stattdessen die Dokumentation zum Profilieren einer Organisation, eines Ordners oder eines Projekts.

Kosten

In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:

  • Sensitive Data Protection
  • BigQuery

Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen. Neuen Google Cloud-Nutzern steht möglicherweise eine kostenlose Testversion zur Verfügung.

Hinweise

Bevor Sie Ergebnisse der Prüfung zum Schutz sensibler Daten an Data Catalog senden können, müssen Sie Folgendes tun:

  • Schritt 1: Abrechnung einrichten
  • Schritt 2: Neues Projekt erstellen und neue BigQuery-Tabelle füllen. (Optional)
  • Schritt 3: Data Catalog aktivieren.
  • Schritt 4: Schutz sensibler Daten aktivieren

In den folgenden Unterabschnitten wird jeder Schritt detailliert beschrieben.

Schritt 1: Abrechnung einrichten

Sie müssen zuerst ein Rechnungskonto einrichten, falls Sie noch keines haben.

Weitere Informationen zum Aktivieren der Abrechnung

Schritt 2: Neues Projekt erstellen und neue BigQuery-Tabelle füllen (optional)

Wenn Sie diese Funktion für Produktionszwecke einrichten oder bereits eine BigQuery-Tabelle haben, die Sie prüfen möchten, öffnen Sie das Google Cloud-Projekt, das die Tabelle enthält. Fahren Sie dann mit Schritt 3 fort.

Wenn Sie diese Funktion ausprobieren und Testdaten prüfen möchten, erstellen Sie ein neues Projekt. Für diesen Schritt benötigen Sie die IAM-Rolle Projektersteller. Weitere Informationen zu IAM-Rollen

  1. Rufen Sie in der Google Cloud Console die Seite Neues Projekt auf.

    Neues Projekt

  2. Wählen Sie in der Drop-down-Liste Rechnungskonto das Rechnungskonto aus, dem das Projekt in Rechnung gestellt werden soll.
  3. Wählen Sie in der Drop-down-Liste Organisation die Organisation aus, in der Sie das Projekt erstellen möchten.
  4. Wählen Sie in der Drop-down-Liste Speicherort die Organisation oder den Ordner aus, in dem Sie das Projekt erstellen möchten.
  5. Klicken Sie auf Erstellen, um das Projekt zu erstellen.

Laden Sie anschließend die Beispieldaten herunter und speichern Sie diese:

  1. Öffnen Sie das Repository für Anleitungen zu Cloud Run-Funktionen auf GitHub.
  2. Wählen Sie eine der CSV-Dateien mit Beispieldaten aus und laden Sie die Datei herunter.
  3. Rufen Sie als Nächstes in der Google Cloud Console BigQuery auf.
  4. Wählen Sie Ihr Projekt aus.
  5. Klicken Sie auf Dataset erstellen.
  6. Klicken Sie auf Tabelle erstellen.
  7. Klicken Sie auf Hochladen und wählen Sie die Datei aus, die Sie hochladen möchten.
  8. Geben Sie der Tabelle einen Namen und klicken Sie dann auf Tabelle erstellen.

Schritt 3: Data Catalog aktivieren.

Aktivieren Sie als Nächstes Data Catalog für das Projekt, das die BigQuery-Tabelle enthält, die Sie mit dem Schutz sensibler Daten prüfen möchten.

So aktivieren Sie Data Catalog über die Google Cloud Console:

  1. Registrieren Sie Ihre Anwendung für Data Catalog.

    Anwendung für Data Catalog registrieren

  2. Wählen Sie auf der Registrierungsseite in der Drop-down-Liste Projekt erstellen das Projekt aus, das Sie mit Data Catalog verwenden möchten.
  3. Klicken Sie nach der Auswahl des Projekts auf Weiter.

Data Catalog ist jetzt für Ihr Projekt aktiviert.

Schritt 4: Schutz sensibler Daten aktivieren

Aktivieren Sie den Schutz sensibler Daten für das Projekt, für das Sie Data Catalog aktiviert haben.

So aktivieren Sie den Schutz sensibler Daten über die Google Cloud Console:

  1. Registrieren Sie Ihre Anwendung für den Schutz sensibler Daten.

    Anwendung für den Schutz sensibler Daten registrieren

  2. Wählen Sie auf der Registrierungsseite in der Drop-down-Liste Projekt erstellen das Projekt aus, das Sie im vorherigen Schritt ausgewählt haben.
  3. Klicken Sie nach der Auswahl des Projekts auf Weiter.

Der Schutz sensibler Daten ist jetzt für Ihr Projekt aktiviert.

Job für die Prüfung auf sensible Daten konfigurieren und ausführen

Sie können einen Inspektionsjob zum Schutz sensibler Daten entweder über die Google Cloud Console oder die DLP API konfigurieren und ausführen.

Data Catalog-Tag-Vorlagen werden im selben Projekt und in derselben Region wie die BigQuery-Tabelle gespeichert. Wenn Sie eine Tabelle aus einem anderen Projekt prüfen, müssen Sie dem Dienst-Agenten für den Schutz sensibler Daten im Projekt, in dem sich die BigQuery-Tabelle befindet, die Rolle „Inhaber der Data Catalog-Tag-Vorlage“ (roles/datacatalog.tagTemplateOwner) zuweisen.

Google Cloud Console

So richten Sie einen Prüfjob für eine BigQuery-Tabelle mithilfe des Schutzes sensibler Daten ein:

  1. Rufen Sie in der Google Cloud Console im Bereich „Schutz sensibler Daten“ die Seite Job oder Jobtrigger erstellen auf.

    Zur Seite „Job oder Job-Trigger erstellen“

  2. Geben Sie die Informationen zum Job zum Schutz sensibler Daten ein und klicken Sie auf Weiter, um die einzelnen Schritte abzuschließen:

    • Geben Sie für Schritt 1: Eingabedaten auswählen einen Namen für den Job im Feld Name ein. Wählen Sie unter Speicherort im Menü Speichertyp die Option BigQuery aus und geben Sie die Informationen für die zu prüfende Tabelle ein. Der Bereich Probenahme ist zur Ausführung einer Stichprobenprüfung für Ihre Daten vorkonfiguriert. Sie können die Felder Zeilen beschränken durch und Maximale Zeilenanzahl anpassen, um bei großen Datenmengen Ressourcen zu sparen. Weitere Informationen finden Sie unter Eingabedaten auswählen.

    • (Optional) In Schritt 2: Erkennung konfigurieren können Sie festlegen, nach welchen Datentypen (infoTypes) gesucht werden soll. Lassen Sie für diese Anleitung die Standard-infoTypes ausgewählt. Weitere Informationen finden Sie unter Erkennung konfigurieren.

    • Aktivieren Sie für Schritt 3: Aktionen hinzufügen die Option In Data Catalog speichern.

    • (Optional) Übernehmen Sie für Schritt 4: Zeitplan bei dieser Anleitung die Menüoption Keiner, wenn die Prüfung nur einmal ausgeführt werden soll. Weitere Informationen zum Planen wiederkehrender Inspektionsjobs finden Sie unter Planen.

  3. Klicken Sie auf Erstellen. Der Job wird sofort ausgeführt.

DLP API

In diesem Abschnitt konfigurieren Sie einen Job zur Prüfung auf sensible Daten und führen ihn aus.

Der hier konfigurierte Inspektionsjob weist den Schutz vor Vertraulichkeitsverletzungen an, entweder die in Schritt 2 beschriebenen BigQuery-Beispieldaten oder Ihre eigenen BigQuery-Daten zu prüfen. In der von Ihnen angegebenen Jobkonfiguration weisen Sie Sensitive Data Protection außerdem an, die Inspektionsergebnisse in Data Catalog zu speichern.

Schritt 1: Projektkennung notieren

  1. Öffnen Sie die Google Cloud Console.

    Weiter zur Google Cloud Console

  2. Klicken Sie auf Auswählen.

  3. Wählen Sie in der Drop-down-Liste Auswählen aus die Organisation aus, für die Sie Data Catalog aktiviert haben.

  4. Kopieren Sie unter ID die Projekt-ID des Projekts, das die zu prüfenden Daten enthält. Dies ist das Projekt, das im Schritt Speicher-Repositories festlegen weiter oben auf dieser Seite beschrieben wurde.

  5. Klicken Sie unter Name auf das Projekt, um es auszuwählen.

Schritt 2: APIs Explorer öffnen und den Job konfigurieren

  1. Rufen Sie APIs Explorer auf der Referenzseite für die Methode dlpJobs.create auf. Damit diese Anleitung verfügbar bleibt, klicken Sie mit der rechten Maustaste auf den folgenden Link und öffnen Sie ihn in einem neuen Tab oder Fenster:

    Zum APIs Explorer

  2. Geben Sie im Feld parent Folgendes ein, wobei project-id die Projekt-ID ist, die Sie zuvor notiert haben:

    projects/project-id

    Kopieren Sie als Nächstes den folgenden JSON-Code. Wählen Sie den Inhalt des Felds Anfragetext im APIs Explorer aus und fügen Sie den JSON-Code ein, um den Inhalt zu ersetzen. Ersetzen Sie die Platzhalter project-id, bigquery-dataset-name und bigquery-table-name jeweils durch die tatsächliche Projekt-ID sowie die Namen der BigQuery-Datasets und -Tabellen.

    {
      "inspectJob":
      {
        "storageConfig":
        {
          "bigQueryOptions":
          {
            "tableReference":
            {
              "projectId": "project-id",
              "datasetId": "bigquery-dataset-name",
              "tableId": "bigquery-table-name"
            }
          }
        },
        "inspectConfig":
        {
          "infoTypes":
          [
            {
              "name": "EMAIL_ADDRESS"
            },
            {
              "name": "PERSON_NAME"
            },
            {
              "name": "US_SOCIAL_SECURITY_NUMBER"
            },
            {
              "name": "PHONE_NUMBER"
            }
          ],
          "includeQuote": true,
          "minLikelihood": "UNLIKELY",
          "limits":
          {
            "maxFindingsPerRequest": 100
          }
        },
        "actions":
        [
          {
            "publishFindingsToCloudDataCatalog": {}
          }
        ]
      }
    }
    

Weitere Informationen zu den verfügbaren Prüfoptionen finden Sie unter Speicher und Datenbanken auf sensible Daten prüfen. Eine vollständige Liste der Informationstypen, nach denen der Schutz sensibler Daten suchen kann, finden Sie in der Referenz zu InfoTypes.

Schritt 3: Anfrage ausführen, um den Prüfjob zu starten

Nachdem Sie den Job mithilfe der vorherigen Schritte konfiguriert haben, klicken Sie auf Ausführen, um die Anfrage zu senden. Wenn die Anfrage erfolgreich ist, wird eine Antwort mit einem Erfolgscode und einem JSON-Objekt angezeigt, das den Status des gerade erstellten Jobs zum Schutz sensibler Daten angibt.

Die Antwort auf Ihre Inspektionsanfrage enthält die Job-ID des Inspektionsjobs als "name"-Schlüssel und den aktuellen Status des Inspektionsjobs als "state"-Schlüssel. Da Sie die Anfrage gerade gesendet haben, lautet der Jobstatus in diesem Moment "PENDING".

Status des Jobs für die Prüfung auf sensible Daten prüfen

Nachdem Sie die Prüfungsanfrage gesendet haben, wird die Prüfung sofort gestartet.

Google Cloud Console

So prüfen Sie den Status des Inspektionsjobs:

  1. Öffnen Sie in der Google Cloud Console den Bereich „Schutz sensibler Daten“.

    Gehen Sie Sensitive Data Protection

  2. Klicken Sie auf den Tab Jobs und Job-Trigger und dann auf Alle Jobs.

Der Job, den Sie gerade ausgeführt haben, befindet sich wahrscheinlich ganz oben in der Liste. Prüfen Sie in der Spalte Status, ob der Status Fertig lautet.

Sie können auf die Job-ID des Jobs klicken, um die Ergebnisse aufzurufen. Auf jeden infoType-Detektor, der auf der Seite "Jobdetails" aufgelistet ist, folgt die Anzahl der Übereinstimmungen, die im Inhalt gefunden wurden.

DLP API

So prüfen Sie den Status des Inspektionsjobs:

  1. Klicken Sie auf die folgende Schaltfläche, um APIs Explorer auf der Referenzseite für die Methode dlpJobs.get aufzurufen:

    APIs Explorer öffnen

  2. Geben Sie im Feld Name den Namen des Jobs aus der JSON-Antwort auf die Prüfanfrage im folgenden Format ein:

    projects/project-id/dlpJobs/job-id
    Die Job-ID hat das Format i-1234567890123456789.

  3. Zum Absenden der Anfrage klicken Sie auf Ausführen.

Wenn der Schlüssel "state" des JSON-Antwortobjekts angibt, dass der Job "DONE" ist, bedeutet dies, dass der Prüfjob abgeschlossen ist.

Scrollen Sie die Seite nach unten, um den Rest des JSON-Antwortcodes anzusehen. Unter "result" > "infoTypeStats" sollte jeder aufgeführte Informationstyp einen entsprechenden "count" haben. Wenn nicht, prüfen Sie, ob Sie den JSON-Code richtig eingegeben haben und der Pfad oder Speicherort Ihrer Daten korrekt ist.

Nachdem der Inspektionsjob abgeschlossen ist, können Sie mit dem nächsten Abschnitt dieser Anleitung fortfahren, um die Inspektionsergebnisse im Security Command Center aufzurufen.

Ergebnisse der Prüfung für den Schutz sensibler Daten in Data Catalog ansehen

Da Sie den Schutz sensibler Daten angewiesen haben, die Ergebnisse des Inspektionsjobs an Data Catalog zu senden, können Sie jetzt die automatisch erstellten Tags und die Tag-Vorlage in der Data Catalog-Benutzeroberfläche ansehen:

  1. Rufen Sie in der Google Cloud Console die Seite „Data Catalog“ auf.

    Zu Data Catalog

  2. Suchen Sie nach der Tabelle, die Sie geprüft haben.
  3. Klicken Sie auf die Ergebnisse, die Ihrer Tabelle entsprechen, um die Metadaten der Tabelle anzusehen.

Der folgende Screenshot zeigt die Data Catalog-Metadatenansicht einer Beispieltabelle:

Ergebnisse zum Schutz sensibler Daten in Data Catalog.

Zusammenfassung der Prüfung

Die Ergebnisse des Schutzes sensibler Daten sind im Zusammenfassungsformat für die geprüfte Tabelle enthalten. Diese Zusammenfassung enthält die infoType-Gesamtzahl sowie Übersichtsdaten zum Inspektionsjob, die Datumsangaben und die ID der Jobressource enthalten.

Alle infoTypes, die geprüft wurden, werden aufgelistet. In diesen Ergebnissen wird eine Anzahl größer null angezeigt.

Bereinigen

Führen Sie einen der folgenden Schritte aus, um zu vermeiden, dass Ihrem Google Cloud-Konto die in diesem Thema verwendeten Ressourcen in Rechnung gestellt werden, je nachdem, ob Sie Beispieldaten oder Ihre eigenen Daten verwendet haben:

Projekt löschen

Am einfachsten vermeiden Sie unnötige Kosten, wenn Sie das durch Befolgen der Anweisungen in diesem Thema erstellte Projekt löschen.

So löschen Sie das Projekt:

  1. Rufen Sie in der Google Cloud Console die Seite „Projekte“ auf.

    Zur Seite "Projekte"

  2. Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie auf Projekt löschen. Klicken Sie auf das Kästchen neben dem Projektnamen und dann auf "Projekt löschen".
  3. Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Beenden, um das Projekt zu löschen.

Wenn Sie Ihr Projekt mit dieser Methode löschen, werden auch der von Ihnen erstellte Job zum Schutz sensibler Daten und der Cloud Storage-Bucket gelöscht. Es ist nicht notwendig, die Anweisungen in den folgenden Abschnitten zu befolgen.

Job oder Job-Trigger für den Schutz sensibler Daten löschen

Wenn Sie Ihre eigenen Daten geprüft haben, löschen Sie den gerade erstellten Prüfjob oder Job-Trigger.

Google Cloud Console

  1. Öffnen Sie in der Google Cloud Console den Bereich „Schutz sensibler Daten“.

    Gehen Sie Sensitive Data Protection

  2. Klicken Sie auf den Tab Jobs und Job-Trigger und dann auf den Tab Job-Trigger.

  3. Klicken Sie in der Spalte Aktionen für den zu löschenden Job-Trigger auf das Dreipunktmenü und dann auf Löschen.

Optional können Sie auch die Jobdetails für den ausgeführten Job löschen. Klicken Sie auf den Tab Alle Jobs. In der Spalte Aktionen für den zu löschenden Job klicken Sie auf das Dreipunktmenü und dann auf Löschen.

DLP API

  1. Klicken Sie auf die folgende Schaltfläche, um APIs Explorer auf der Referenzseite für die Methode dlpJobs.delete aufzurufen:

    APIs Explorer öffnen

  2. Geben Sie im Feld Name den Namen des Jobs aus der JSON-Antwort auf die Inspektionsanfrage ein, der folgende Form hat:

    projects/project-id/dlpJobs/job-id
    Die Job-ID hat das Format i-1234567890123456789.

Wenn Sie zusätzliche Prüfjobs erstellt haben oder den Job erfolgreich löschen möchten, können Sie alle vorhandenen Jobs auflisten:

  1. Klicken Sie auf die folgende Schaltfläche, um APIs Explorer auf der Referenzseite für die Methode dlpJobs.list aufzurufen:

    Zum APIs Explorer

  2. Geben Sie im Feld Parent die Projektkennung in der folgenden Form ein, wobei project-id Ihre Projekt-ID ist:

    projects/project-id

  3. Klicken Sie auf Execute.

Wenn in der Antwort keine Jobs aufgeführt sind, haben Sie alle Jobs gelöscht. Wenn Jobs in der Antwort aufgeführt sind, wiederholen Sie den oben beschriebenen Löschvorgang für diese Jobs.

Nächste Schritte