このセクションでは、Sensitive Data Protection 検出サービスによって生成されたデータ プロファイルに対してオペレーションを実行する方法について説明します。
検出サービスの詳細については、データ プロファイルをご覧ください。
始める前に
組織レベルまたはプロジェクト レベルで、スキャン構成とデータ プロファイルを操作するために必要な IAM 権限があることを確認します。
データ プロファイルを表示する
データ所在地に配慮するため、機密データの保護は、異なるリージョンにあるプロファイルを組み合わせません。したがって、Google Cloud コンソールには、選択したリージョンのデータ プロファイルのみが表示されます。
複数のリージョンのデータ プロファイルを 1 つのビューで結合したレポートを作成する、または表示する場合は、BigQuery にデータ プロファイルをエクスポートします。この機能を使用すると、BigQuery でデータ プロファイルをクエリし、Looker で事前作成レポートを生成できます。
Google Cloud コンソールでデータ プロファイルを表示する手順は次のとおりです。
Sensitive Data Protection の検出プロファイル ページに移動します。
正しい組織またはプロジェクトが表示されていることを確認してください。
- 組織レベルまたはフォルダレベルのスキャンを使用してデータ プロファイルを生成した場合は、組織を表示します。
- プロジェクト レベルのスキャンを使用してデータ プロファイルを生成した場合は、適切なプロジェクトを表示します。
別のビューに切り替えるには、ツールバーで
プロジェクト セレクタをクリックします。次に、表示する組織またはプロジェクトを選択します。プロジェクト レベルのスキャンで生成されたデータ プロファイルはプロジェクト ビューにのみ表示され、組織レベルまたはフォルダレベルのスキャンの結果とは結合されません。逆に、組織レベルまたはフォルダレベルのスキャンで生成されたデータ プロファイルは、組織ビューにのみ表示されます。
[ロケーション] リストで、表示するデータプロファイルを含むリージョンを選択します。各データ プロファイルは、関連するデータと同じリージョンに保存されます。
ページにデータ プロファイルが読み込まれます。このページでは、さまざまなレベルでデータ プロファイルを表示できます。
プロジェクト ビュー
[プロジェクト] タブでは、選択したリージョンでスキャンされたデータを含むプロジェクトのそれぞれが、1 つのデータ プロファイルを表します。
次の図は、プロジェクト データ プロファイルのリストを示しています。画像をクリックすると拡大します。
各プロジェクト データ プロファイルは、次の両方の条件を満たすデータアセットから収集された指標の集計です。
- そのプロジェクトに属するデータアセット。
- Google Cloud コンソールで選択したリージョンに存在するデータアセット。
そのため、同じプロジェクトには、2 つ以上のデータ プロファイルを設定できます(リージョンごとに 1 つ)。そういったプロジェクト データ プロファイルには、異なるリスクと機密性のレベルが存在します。
次の例について考えます。プロジェクト A の us-west1
リージョンと us-west2
リージョンにテーブルがあるとします。us-west1
リージョンでプロジェクト データ プロファイルを表示すると、プロジェクト A のデータ プロファイルが表示されます。us-west1
リージョンのプロジェクト A のテーブルから収集された指標のみが含まれます。us-west2
リージョンに切り替えると、プロジェクト A の別のデータ プロファイルを使用できます。us-west2
リージョンのプロジェクト A のテーブルに関連するデータのみが表示されます。
プロジェクト データ プロファイルに収集される指標の詳細については、プロジェクト レベルのデータ プロファイルをご覧ください。
テーブルビュー
[テーブル] タブでは、選択したリージョンでスキャンされたテーブルのそれぞれが、1 つのデータ プロファイルを表します。
次の図は、テーブルデータ プロファイルのリストを示しています。画像をクリックすると拡大します。
テーブルデータ プロファイルの詳細を表示するには、その行の任意の場所をクリックします。または、> [詳細を表示] をクリックします。詳細ビューには、テーブルの列レベルのデータ プロファイルも表示されます。
[アクション]列ビューから [テーブル] タブに戻るには、
[機密データの検出: テーブル プロファイルの詳細] をクリックします。
テーブルデータ プロファイルで収集される指標の詳細については、テーブルレベルのデータ プロファイルをご覧ください。
列ビュー
[テーブル] タブのテーブル データ プロファイルをクリックすると、列ビューが表示されます。このビューでは、選択したリージョンでスキャンされたテーブルの列それぞれが、1 つのデータ プロファイルを表します。
次の図は、列データ プロファイルのリストを示しています。画像をクリックすると拡大します。
特定列のプロファイルの詳細を表示するには、
[アクション] をクリックし、[詳細を表示] をクリックします。- 列ビューから [テーブル] タブに戻るには、 [機密データの検出: テーブル プロファイルの詳細] をクリックします。
列データ プロファイルで収集される指標の詳細については、列レベルのデータ プロファイルをご覧ください。
ファイル ストアビュー
[ファイル ストア] タブでは、選択したリージョンでスキャンされたバケットのそれぞれが 1 つのデータ プロファイルを表します。Sensitive Data Protection では、ファイル ストレージ バケットをファイル ストアという用語で参照します。
ファイル ストアのデータ プロファイルの詳細を表示するには、その行の任意の場所をクリックします。または、> [詳細を表示] をクリックします。
[アクション][File stores] タブに戻るには、
[Sensitive Data Discovery: Filestore のプロファイルの詳細] をクリックします。
ファイルストアのデータ プロファイルで収集される指標の詳細については、ファイルストアのデータ プロファイルをご覧ください。
再プロファイリング オペレーションを強制的に実行する
データアセットで再プロファイリング オペレーションを強制的に実行するには、アセットのテーブルデータ プロファイルまたはファイルストア データ プロファイルを削除します。データアセットがアクティブ スキャン構成のスコープ内にある場合、データアセットは自動的に再プロファイリングされます。それ以外の場合は、データアセットを含むスキャン構成を作成する必要があります。
データを再プロファイリングすると、複数のデータ プロファイルが再生成されます。
- テーブルを再プロファイリングすると、テーブルデータ プロファイル、列データ プロファイル、プロジェクト データ プロファイルが再生成されます。
- ファイルストアを再プロファイルすると、ファイルストアのデータ プロファイルとプロジェクト データ プロファイルが再生成されます。
このタスクは、次のような状況で行うことができます。
- データに変更を加えずにデータのプロファイルを再作成する必要がある。
- 次のスケジュールされた検出スキャンの前にデータを再プロファイリングする必要がある場合。
データアセットを再プロファイリングする手順は次のとおりです。
- 再生成するテーブルデータ プロファイルまたはファイル ストア データ プロファイルの詳細を表示します。
- [削除] をクリックします。
- 表示された確認メッセージを確認し、[削除] をクリックします。データ プロファイルが削除されます。
- アクティブなスキャン構成にテーブルまたはファイル ストアが含まれていない場合は、作成します。
BigQuery テーブルまたは Cloud Storage バケットの詳細な検査を行う
BigQuery テーブルまたは Cloud Storage バケットをプロファイリングし、データアセットの内容の詳細を確認するために、詳しい検査を実行できます。
プロファイリングされたデータアセットを調べる手順は次のとおりです。
- データ プロファイルの詳細を表示する。
- [検査ジョブを作成] をクリックします。
- 実行する検査ジョブの詳細を入力します。このフォームへの入力の詳細については、Google Cloud のストレージとデータベースに含まれる機密データの検査をご覧ください。
次のステップ
- スキャン構成を管理する方法を学習する。
- データ プロファイルを分析する方法を学習します。