במאמר הזה מוסבר איך לבדוק אם יש בטבלה ב-BigQuery מידע אישי רגיש, ולשלוח את תוצאות הבדיקה אל Knowledge Catalog. הפעולה הזו מוסיפה באופן אוטומטי מאפיין לרשומה ב-Knowledge Catalog שמשויכת לטבלה ב-BigQuery.
במסמך הזה מופיעות גם דוגמאות לשאילתות שאפשר להשתמש בהן כדי למצוא נתונים בארגון ובפרויקטים עם ערכים ספציפיים של היבטים.
התכונה הזו שימושית אם רוצים להעשיר את המטא-נתונים ב-Knowledge Catalog בסיווגים של מידע אישי רגיש מתוך עבודות בדיקה של Sensitive Data Protection.
ההיבטים שנוצרו כוללים את הפרטים הבאים:
- שם עבודת הבדיקה
- סוגי המידע (infoTypes) שזוהו בטבלה
מידע על Knowledge Catalog
Knowledge Catalog מספק מלאי מאוחד של משאבים ב- Google Cloud .
בעזרת היבטים ב-Knowledge Catalog, אתם יכולים להוסיף מטא-נתונים עסקיים וטכניים לנתונים שלכם כדי לתעד הקשר ומידע על המשאבים שלכם. לאחר מכן תוכלו לחפש ולגלות נתונים בכל הארגון, ולהפעיל משילות מידע (data governance) על נכסי הנתונים שלכם. מידע נוסף זמין במאמר בנושא היבטים.
איך זה עובד
כדי ליצור באופן אוטומטי היבטים של Knowledge Catalog על סמך תוצאות של משימת בדיקה, פועלים לפי תהליך העבודה הבא:
יוצרים או עורכים משימת בדיקה שבודקת טבלה ב-BigQuery. הוראות מפורטות מופיעות במאמר בדיקת טבלה ב-BigQuery.
בשלב הוספת פעולות, מפעילים את האפשרות פרסום ב-Dataplex Universal Catalog.
השירות Sensitive Data Protection מוסיף או מעדכן את ההיבט Sensitive Data Protection job result של הערך ב-Knowledge Catalog שמשויך לטבלה ב-BigQuery. אחרי מכן תוכלו לחפש ב-Knowledge Catalog את כל הנתונים בארגון או בפרויקט עם ערכים ספציפיים של היבטים. דוגמאות לשאילתות חיפוש מופיעות במאמר הזה בקטע דוגמאות לשאילתות חיפוש.
ההיבט שמתקבל של Knowledge Catalog מאוחסן באותו פרויקט ובאותו אזור כמו הטבלה ב-BigQuery.
שדות היבטים
המאפיין Sensitive Data Protection job result כולל את השדות הבאים:
- שם המשרה
- שם המשאב המלא של עבודת הבדיקה – לדוגמה,
projects/example-project/locations/us/dlpJobs/i-8992079400000000000. - InfoType Counts
- שמות של סוגי מידע שהעבודה של הבדיקה חיפשה – כפי שצוין בהגדרת הבדיקה – ומספר הממצאים לכל סוג מידע.
אם סוג המידע לא כולל ממצאים, הערך שלו הוא
0. - שעת הסיום
- התאריך והשעה שבהם הסתיימה משימת הבדיקה.
- האם זו סריקה מלאה
- האם עבודת הבדיקה סרקה את כל השורות בטבלה. אם הדגימה מופעלת במשימת הבדיקה, למשל, הערך של השדה הזה הוא
False. - יש ממצאים
- האם עבודת הבדיקה זיהתה אחד מסוגי המידע שהיא סרקה.
הפעלת Dataplex API
צריך להפעיל את Dataplex API בכל פרויקט שמכיל נתונים שרוצים להוסיף להם היבטים. בקטע הזה מוסבר איך להפעיל את Dataplex API בפרויקט יחיד או בכל הפרויקטים בארגון או בתיקייה.
הפעלת Dataplex API בפרויקט יחיד
בוחרים את הפרויקט שבו רוצים להפעיל את Dataplex API.
-
מפעילים את Dataplex API.
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (
roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאהserviceusage.services.enable. איך מקצים תפקידים
הפעלת Dataplex API בכל הפרויקטים בארגון או בתיקייה
בקטע הזה מופיע סקריפט שמחפש את כל הפרויקטים בארגון או בתיקייה ומפעיל את Dataplex API בכל אחד מהפרויקטים האלה.
כדי לקבל את ההרשאות שדרושות להפעלת Dataplex API בכל הפרויקטים בארגון או בתיקייה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:
- צפייה במשאבים ב-Cloud (
roles/cloudasset.viewer) בארגון או בתיקייה - DLP User (
roles/dlp.user) בכל פרויקט שבו רוצים להפעיל את Dataplex API
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים המוגדרים מראש האלה מכילים את ההרשאות שנדרשות להפעלת Dataplex API בכל הפרויקטים בארגון או בתיקייה. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי להפעיל את Dataplex API בכל הפרויקטים בארגון או בתיקייה, נדרשות ההרשאות הבאות:
-
כדי לחפש את כל הפרויקטים בארגון או בתיקייה:
cloudasset.assets.searchAllResourcesבארגון או בתיקייה -
כדי להפעיל את Dataplex API:
serviceusage.services.useבכל פרויקט שבו רוצים להפעיל את Dataplex API
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
כדי להפעיל את Dataplex API בכל הפרויקטים בארגון או בתיקייה, פועלים לפי השלבים הבאים:
-
במסוף Google Cloud , מפעילים את Cloud Shell.
בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.
מריצים את הסקריפט הבא:
#!/bin/bash RESOURCE_ID="RESOURCE_ID" gcloud asset search-all-resources \ --scope="RESOURCE_TYPE/$RESOURCE_ID" \ --asset-types="cloudresourcemanager.googleapis.com/Project" \ --format="value(name)" | while read project_name; do project_id=$(echo "$project_name" | sed 's|.*/||') gcloud services enable "dataplex.googleapis.com" --project="$project_id" doneמחליפים את מה שכתוב בשדות הבאים:
-
RESOURCE_ID: מספר הארגון או מספר התיקייה של המשאב שמכיל את הפרויקטים -
RESOURCE_TYPE: סוג המשאב שמכיל את הפרויקטים –organizationsאוfolders
-
תפקידים והרשאות לצפייה בהיבטים
כדי לקבל את ההרשאות שדרושות לחיפוש היבטים שמשויכים לטבלת BigQuery, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בטבלה:
- צפייה בקטלוג Dataplex (
roles/dataplex.catalogViewer) - BigQuery Data Viewer (
roles/bigquery.dataViewer)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לחיפוש היבטים שמשויכים לטבלה ב-BigQuery. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי לחפש היבטים שמשויכים לטבלה ב-BigQuery, נדרשות ההרשאות הבאות:
-
הצגת רשומות מ-Knowledge Catalog:
-
dataplex.entries.list -
dataplex.entries.get
-
-
הצגת מערכי נתונים וטבלאות ב-BigQuery:
-
bigquery.datasets.get -
bigquery.tables.get
-
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
מידע נוסף על ההרשאות שנדרשות לשימוש ב-Knowledge Catalog זמין במאמר הרשאות IAM ב-Knowledge Catalog.
הגדרה והפעלה של משימת בדיקה של Sensitive Data Protection
אפשר להגדיר ולהפעיל עבודת בדיקה של Sensitive Data Protection באמצעות Google Cloud המסוף או DLP API.
המסוף
-
נכנסים לדף Create job or job trigger במסוף Google Cloud .
- בוחרים את הפרויקט הרצוי.
- מזינים את הפרטים הנדרשים של משימת הבדיקה ואת הפרטים של טבלת BigQuery שרוצים לבדוק. הוראות מפורטות מופיעות במאמר בדיקת טבלה ב-BigQuery. רשימה מלאה של סוגי המידע ש-Sensitive Data Protection יכול לבדוק מופיעה במאמר חומר עזר בנושא גילוי InfoType.
- בקטע הוספת פעולות, מפעילים את האפשרות פרסום ב-Dataplex Universal Catalog.
- לוחצים על יצירה. העבודה תתבצע באופן מיידי.
REST
בדוגמה הבאה נשלחת בקשת projects.locations.dlpJobs.create לבדיקת טבלה ב-BigQuery ושליחת התוצאות אל Knowledge Catalog.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . מזהי פרויקטים הם מחרוזות אלפאנומריות -
LOCATION: האזור או האזור המרובה שבו רוצים לעבד את הבקשה – לדוגמה,europe-west1אוus. מידע על המיקומים הזמינים מופיע במאמר מיקומים של Sensitive Data Protection. -
BIGQUERY_DATASET_NAME: השם של מערך הנתונים ב-BigQuery שמכיל את הטבלה שרוצים לבדוק -
BIGQUERY_TABLE_NAME: השם של הטבלה ב-BigQuery שרוצים לבדוק
ה-method של ה-HTTP וכתובת ה-URL:
POST https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/dlpJobs
תוכן בקשת JSON:
{
"inspectJob":
{
"storageConfig":
{
"bigQueryOptions":
{
"tableReference":
{
"projectId": "PROJECT_ID",
"datasetId": "BIGQUERY_DATASET_NAME",
"tableId": "BIGQUERY_TABLE_NAME"
}
}
},
"inspectConfig":
{
"infoTypes":
[
{
"name": "EMAIL_ADDRESS"
},
{
"name": "PERSON_NAME"
},
{
"name": "US_SOCIAL_SECURITY_NUMBER"
},
{
"name": "PHONE_NUMBER"
}
],
"includeQuote": true,
"minLikelihood": "UNLIKELY",
"limits":
{
"maxFindingsPerRequest": 100
}
},
"actions":
[
{
"publishFindingsToDataplexCatalog": {}
}
]
}
}
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "projects/PROJECT_ID/locations/LOCATION/dlpJobs/JOB_ID",
"type": "INSPECT_JOB",
"state": "PENDING",
"inspectDetails": {
"requestedOptions": {
"snapshotInspectTemplate": {},
"jobConfig": {
"storageConfig": {
"bigQueryOptions": {
"tableReference": {
"projectId": "PROJECT_ID",
"datasetId": "BIGQUERY_DATASET_NAME",
"tableId": "BIGQUERY_TABLE_NAME"
}
}
},
"inspectConfig": {
"infoTypes": [
{
"name": "EMAIL_ADDRESS"
},
{
"name": "PERSON_NAME"
},
{
"name": "US_SOCIAL_SECURITY_NUMBER"
},
{
"name": "PHONE_NUMBER"
}
],
"minLikelihood": "UNLIKELY",
"limits": {
"maxFindingsPerRequest": 100
},
"includeQuote": true
},
"actions": [
{
"publishFindingsToDataplexCatalog": {}
}
]
}
},
"result": {}
},
"createTime": "2025-09-09T00:29:55.951374Z",
"lastModified": "2025-09-09T00:29:58.022967Z"
}
במאמר קבלת נתונים של משימת בדיקה מוסבר איך מקבלים את התוצאות של משימת הבדיקה באמצעות DLP API.
שאילתות חיפוש לדוגמה
בקטע הזה מופיעות דוגמאות לשאילתות חיפוש שאפשר להשתמש בהן ב-Knowledge Catalog כדי למצוא נתונים בארגון או בפרויקט עם ערכים ספציפיים של היבטים.
תוכלו לראות רק את הנתונים שיש לכם גישה אליהם. הגישה לנתונים נשלטת באמצעות הרשאות IAM. מידע נוסף זמין בקטע תפקידים והרשאות לצפייה בהיבטים במאמר הזה.
אפשר להזין את השאילתות לדוגמה האלה בשדה חיפוש בדף חיפוש של Knowledge Catalog.
מידע על ניסוח השאילתות זמין במאמר בנושא תחביר החיפוש בקטלוג הידע.
מציאת הרשומות של כל הטבלאות שכוללות את ההיבט של תוצאת העבודה של Sensitive Data Protection
aspect:sensitive-data-protection-job-result
חיפוש הרשומות של טבלאות שנבדקו וכוללות ממצאים
aspect:sensitive-data-protection-job-result.hasFindings=True
חיפוש רשומות של טבלאות שנבדקו ולא נמצאו בהן ממצאים
aspect:sensitive-data-protection-job-result.hasFindings=False
מציאת הרשומות של טבלאות שנבדקו באופן מלא
השאילתה הבאה מחזירה את הרשומות של טבלאות ש-Sensitive Data Protection בדק שורה אחר שורה.
aspect:sensitive-data-protection-job-result.isFullScan=True
איתור הרשומות של טבלאות שלא נבדקו באופן מלא
השאילתה הבאה מחזירה את הרשומות של טבלאות ש-Sensitive Data Protection בדק באמצעות דגימה.
aspect:sensitive-data-protection-job-result.isFullScan=False
מעבר לפעולה 'פרסום ב-Dataplex Universal Catalog'
כדי להעביר טריגר של משימה שהוגדר להשתמש בפעולה פרסום ב-Data Catalog שהוצאה משימוש, פועלים לפי השלבים הבאים:
- עורכים את טריגר המשימה שהוגדר לפרסום תוצאות הבדיקה ב-Data Catalog. במאמר עדכון של טריגר קיים להפעלת משימה מוסבר איך לפתוח ולערוך טריגר להפעלת משימה.
- בקטע פעולות, משביתים את האפשרות פרסום בקטלוג הנתונים.
- מפעילים את האפשרות פרסום ב-Dataplex Universal Catalog.
- לוחצים על Save.