Cloud Data Loss Prevention (Cloud DLP) is now a part of Sensitive Data Protection. The API name remains the same: Cloud Data Loss Prevention API (DLP API). For information about the services that make up Sensitive Data Protection, see Sensitive Data Protection overview.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שליטה בגישה ל-IAM על סמך רמת הרגישות של הנתונים

בדף הזה מוסבר איך להעניק או לשלול גישה למשאבים באופן אוטומטי באמצעות הכלי לניהול זהויות והרשאות גישה (IAM), בהתאם לרגישות הנתונים במשאבים האלה.

אתם יכולים להגדיר את שירות הגילוי של Sensitive Data Protection כך שיצורף אוטומטית תגים למשאבים על סמך רמות הרגישות המחושבות של המשאבים האלה. לאחר מכן תוכלו להשתמש בתנאים של IAM כדי להעניק או לדחות גישה למשאב, על סמך הנוכחות או היעדר של מפתח תג או ערך תג של רמת רגישות.

נניח שאתם רוצים שצוות הנתונים של הארגון יוכל להעתיק ולשתף נתונים ב-BigQuery באופן חופשי בפעולות היומיומיות שלו. עם זאת, אתם לא יודעים אם חלק מהנתונים האלה מכילים פרטים אישיים מזהים (PII) של הלקוחות שלכם. אתם יכולים להריץ גילוי כדי לסווג את רמות הרגישות של נתוני BigQuery. לאחר מכן, מעניקים גישה לצוות הנתונים בתנאי שהם יוכלו לגשת רק לטבלאות BigQuery שמכילות נתונים ברמת רגישות נמוכה בלבד.

מידע נוסף על האופן שבו Sensitive Data Protection מחשב את רמת הרגישות של הנתונים זמין במאמר רמות הסיכון והרגישות של הנתונים.

מידע נוסף על שימוש בתגים כדי לשלוט בגישה למשאבים זמין במאמר תגים וגישה מותנית במסמכי התיעוד של IAM. מידע כללי על תגים זמין במאמר סקירה כללית על תגים במאמרי העזרה של מנהל המשאבים.

תג רמת רגישות

במסמך הזה, המונח תג רמת רגישות מתייחס לתג שמצורף אוטומטית למשאב כדי לציין את רמת הרגישות המחושבת של הנתונים במשאב הזה.

יתרונות

התכונה הזו מאפשרת לכם:

אוטומציה של בקרת גישה במגוון משאבים נתמכים על סמך מאפיינים וסיווגים של הנתונים במשאבים האלה. אוטומציה עוזרת לכם להתעדכן בצמיחה ובשינויים בנתונים בארגון, בתיקיות ובפרויקטים.
הגבלת הגישה למשאבים הנתמכים עד שהם ינותחו ויסווגו על ידי Sensitive Data Protection. השיטה הזו תואמת לעיקרון מאובטח כברירת מחדל.
מגדירים את הגילוי כך שיעדכן את הערך של תג רמת הרגישות בכל פעם שהוא יוצר פרופיל של הנתונים. כתוצאה מכך, הגישה של גורם מרכזי למשאב משתנה באופן אוטומטי כשרמת הרגישות המחושבת של הנתונים במשאב הזה משתנה.
אפשר להגדיר את האפשרות 'גילוי' כדי להוריד את רמת הסיכון המחושבת של הנתונים במשאב אם הגילוי מזהה שקיים תג של רמת רגישות במשאב הזה. האפשרות הזו עוזרת לכם למדוד את השיפור ברמת האבטחה והפרטיות של הנתונים.

משאבים נתמכים

באמצעות התכונה הזו, Sensitive Data Protection מתייג נתונים באופן אוטומטי ברמות הבאות:

טבלאות ב-BigQuery
מכונות של Cloud SQL
קטגוריות של Cloud Storage

איך זה עובד

זהו תהליך עבודה ברמה גבוהה לשליטה בגישה למשאבים על סמך רגישות הנתונים. לא חייבים לבצע את המשימות האלה על ידי אותו אדם.

יצירת תווית של רמת רגישות
הענקת גישה מותנית למשאבים על סמך הערך של תג רמת הרגישות
הפעלת התיוג האוטומטי בהגדרות של Discovery
נותנים לסוכן השירות הרשאה לצרף תג של רמת רגישות למשאבים

ההרשאות הנדרשות

ההרשאות שנדרשות תלויות בפעולה שרוצים לבצע.

כדי לקבל את ההרשאות האלה, צריך לבקש מהאדמין להקצות את התפקיד המוצע ברמה המתאימה בהיררכיית המשאבים.

הרשאות לניהול תגים

מידע נוסף מופיע במאמר ניהול תגים במאמרי העזרה של מנהל המשאבים.

הרשאות להענקת גישה מותנית למשאבים

למידע נוסף על התפקידים הנדרשים

הרשאות להגדרת גילוי

תפקידים שנדרשים להגדרה ולצפייה בפרופילי נתונים

יצירת תג רמת רגישות

במשימה הזו תיצרו מפתח תג עם ערכי תג שממופים לרמות הרגישות של הנתונים שבהן משתמשת התכונה Sensitive Data Protection כדי לסווג את הנתונים שלכם. לדוגמה, אפשר להשתמש במפתח התג ובערכי התג הבאים.

מגדירים את מפתח התג לערך sensitivity-level.
מגדירים את ערכי התגים הבאים:

low

ערך התג לצירוף לנתונים ברמת רגישות נמוכה

moderate

ערך התג לצירוף לנתונים ברמת רגישות בינונית

high

ערך התג לצירוף לנתונים ברגישות גבוהה

אפשר גם ליצור ערך תג למשאבים עם רמת רגישות לא ידועה. לחלופין, אפשר להשתמש מחדש בערכי התגים low, medium או high עבור המשאבים האלה.
חשוב לשים לב לנקודות הבאות. תצטרכו את הפרטים האלה במשימה הבאה:
- מזהה מפתח התג – לדוגמה, tagKeys/281478077849901
- ערכי מפתח של תגים – לדוגמה, tagValues/281479490918432
- נתיבי ערכים של תגים – לדוגמה, example-project/tag-key/tag-value1

כדי לפשט את הדברים, בדוגמה הזו מוגדר מיפוי של אחד לאחד בין ערך של תג לבין רמת רגישות. בפועל, אתם יכולים להתאים אישית את ערכי התגים בהתאם לצרכים העסקיים שלכם. לדוגמה, אפשר להשתמש בערכים כמו confidential,‏ PII או SPII (פרטים אישיים מזהים רגישים).

אפשר להגדיר את גילוי המידע האישי הרגיש ברמת הארגון, התיקייה והפרויקט. אם אתם מתכוונים להשתמש בתג הזה של רמת הרגישות לגילוי ברמת הארגון או ברמת התיקייה, מומלץ ליצור את התג הזה ברמת הארגון.

למידע על יצירת תג, ראה יצירה וניהול של תגים בתיעוד של מנהל המשאבים.

הענקת גישה מותנית למשאבים על סמך הערך של תג רמת הרגישות

במשימה הזו, תקצו תפקיד לחשבון משתמש רק אם לתג רמת הרגישות שמצורף למשאב יש ערך ספציפי. לדוגמה, אפשר להעניק למשתמש ראשי גישה רק לנתונים עם ערכי התגים moderate ו-low.

בקטע הזה מופיעות דוגמאות לתנאים שמעוצבים לשימוש בכלי לעריכת תנאים. עורך התנאים הוא ממשק מבוסס-טקסט שבו מזינים ידנית ביטוי בתחביר CEL. במאמר ניהול קישורי תפקידים מותנים במסמכי ה-IAM מוסבר איך לצרף תנאי IAM לקישורי תפקידים.

הדוגמאות האלה מבוססות על מודל התיוג שמוגדר בקטע יצירת תג רמת רגישות בדף הזה.

מתן גישה לחשבונות משתמשים רק לנתונים ברגישות נמוכה

בדוגמה הזו, אתם מעניקים גישה למשאב אם הוא מכיל רק נתונים ברמת רגישות נמוכה. אפשר גם להשתמש בדוגמה הזו כדי להגביל את כל הגישה למשאב עד שמיון מידע אישי רגיש יפעל על המשאב הזה.

resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY",
"tagValues/TAG_VALUE_FOR_LOW_SENSITIVITY")

מחליפים את מה שכתוב בשדות הבאים:

‫SENSITIVITY_LEVEL_TAG_KEY: המזהה המספרי של מפתח התג של רמת הרגישות שיצרתם
‫TAG_VALUE_FOR_LOW_SENSITIVITY: המזהה המספרי של ערך התג שיצרתם לנתונים ברמת רגישות נמוכה

מתן גישה לישויות רק לנתונים ברמת רגישות בינונית ונמוכה

בדוגמה הזו, אתם מעניקים גישה למשאב אם הוא מכיל רק נתונים ברמת רגישות בינונית או נתונים ברמת רגישות נמוכה. שימו לב שיש אופרטור OR בין שני התנאים.

resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY", "tagValues/TAG_VALUE_FOR_LOW_SENSITIVITY") ||
resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY", "tagValues/TAG_VALUE_FOR_MODERATE_SENSITIVITY")

מחליפים את מה שכתוב בשדות הבאים:

‫SENSITIVITY_LEVEL_TAG_KEY: המזהה המספרי של מפתח התג של רמת הרגישות שיצרתם
‫TAG_VALUE_FOR_LOW_SENSITIVITY: המזהה המספרי של ערך התג שיצרתם לנתונים ברמת רגישות נמוכה
TAG_VALUE_FOR_MODERATE_SENSITIVITY: המזהה המספרי של ערך התג שיצרתם לנתונים ברמת רגישות בינונית

הענקת גישה לישויות רק אם קיים תג של רמת הרגישות

לדוגמה, אם רוצים להגדיר מדיניות ארגונית שדורשת שכל גישת IAM תהיה מותנית בנוכחות של תג רמת רגישות. אפשר גם להשתמש בדוגמה הזו כדי להגביל את כל הגישה למשאב עד שמיון מידע אישי רגיש יפעל על המשאב הזה.

resource.hasTagKeyId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY")

מחליפים את SENSITIVITY_LEVEL_TAG_KEY במזהה המספרי של מפתח תג סיווג הרגישות שיצרתם.

דוגמאות למדיניות דחייה

מידע על יצירת מדיניות דחייה לשימוש בתג משאב זמין במאמר בנושא מבנה של מדיניות דחייה. רשימת ההרשאות הנתמכות מופיעה במאמר ההרשאות שנתמכות בכללי מדיניות הדחייה.

דחיית הגישה אם אין תג של רמת רגישות

בקטע הבא של מדיניות הדחייה, ההרשאה bigquery.googleapis.com/tables.get נדחית אם למשאב אין תג של רמת רגישות.

  "rules": [
    {
      "denyRule": {
        "deniedPrincipals": [
          "principalSet://goog/group/data-team@example.com"
        ],
        "deniedPermissions": [
          "bigquery.googleapis.com/tables.get"
        ],
        "denialCondition": {
          "title": "Resource has no key",
          "expression": "!resource.hasTagKeyId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY")"
        }
      }
    }
  ]

מחליפים את SENSITIVITY_LEVEL_TAG_KEY במזהה המספרי של מפתח תג סיווג הרגישות שיצרתם.

דחיית הגישה אם קיימים נתונים ברמת רגישות בינונית או גבוהה

בקטע הבא של מדיניות הדחייה, ההרשאה bigquery.googleapis.com/tables.get נדחית אם המשאב מכיל נתונים ברמת רגישות בינונית או גבוהה.

  "rules": [
    {
      "denyRule": {
        "deniedPrincipals": [
          "principalSet://goog/group/data-team@example.com"
        ],
        "deniedPermissions": [
          "bigquery.googleapis.com/tables.get"
        ],
        "denialCondition": {
          "title": "Resource has moderate or high data sensitivity",
          "expression": "resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY", "tagValues/TAG_VALUE_FOR_MODERATE_SENSITIVITY") || resource.matchTagId("tagKeys/SENSITIVITY_LEVEL_TAG_KEY", "tagValues/TAG_VALUE_FOR_HIGH_SENSITIVITY")"
        }
      }
    }
  ]

מחליפים את מה שכתוב בשדות הבאים:

‫SENSITIVITY_LEVEL_TAG_KEY: המזהה המספרי של מפתח התג של רמת הרגישות שיצרתם
TAG_VALUE_FOR_MODERATE_SENSITIVITY: המזהה המספרי של ערך התג שיצרתם לנתונים ברמת רגישות בינונית
‫TAG_VALUE_FOR_HIGH_SENSITIVITY: המזהה המספרי של ערך התג שיצרתם לנתונים ברמת רגישות גבוהה

הפעלת התיוג האוטומטי בהגדרות של Discovery

במשימה הזו מפעילים את הפעולה Tag resources. הפעולה הזו מורה ל-Sensitive Data Protection לתייג אוטומטית את הנתונים בהתאם לרמת הרגישות המחושבת שלהם. מבצעים את המשימה הזו כשיוצרים או עורכים הגדרה של סריקת גילוי.

כדי לתייג באופן אוטומטי משאב לפי רמת הרגישות המחושבת שלו: פועלים לפי השלבים הבאים:

מפעילים את האפשרות תיוג משאבים.
לכל רמת רגישות (גבוהה, בינונית, נמוכה ולא ידועה), מזינים את הנתיב של ערך התג שיצרתם לרמת הרגישות הנתונה.

אם מדלגים על רמת רגישות, לא מצורף תג לרמה הזו.
כדי להנמיך אוטומטית את רמת הסיכון של נתונים במשאב מסוים כשתג רמת הרגישות קיים, בוחרים באפשרות כשתג מוחל על משאב, רמת הסיכון של הנתונים בפרופיל שלו תוגדר כנמוכה. האפשרות הזו עוזרת לכם למדוד את השיפור ברמת אבטחת המידע והפרטיות שלכם.

חשוב: האפשרות הזו מבטלת את רמת הסיכון המחושבת של הנתונים של המשאב שנוצר לו פרופיל.
בוחרים אחת מהאפשרויות הבאות או את שתיהן:
- תיוג משאב כשיוצרים לו פרופיל בפעם הראשונה
- תיוג משאב כשמעדכנים את הפרופיל שלו בוחרים באפשרות הזו אם רוצים ש-Sensitive Data Protection יחליף את הערך של תג רמת הרגישות בהפעלות הבאות של הגילוי. כתוצאה מכך, הגישה של גורם מרכזי למשאב משתנה אוטומטית ככל שרמת הרגישות של הנתונים המחושבת עבור המשאב הזה עולה או יורדת.
  
  לא בוחרים באפשרות הזו אם מתכננים לעדכן באופן ידני את ערכי התוויות של רמת הרגישות ששירות הגילוי צירף למשאבים. אם בוחרים באפשרות הזו, Sensitive Data Protection יכול לדרוס את העדכונים הידניים שלכם.

אפשר להגדיר את האפשרות 'גילוי מידע אישי רגיש' ברמת הארגון, התיקייה והפרויקט. אם אתם מתכוונים להשתמש בתג הזה של רמת הרגישות לגילוי ברמת הארגון, ואם אתם לא רוצים שפעולות גילוי ברמת הפרויקט יחליפו את ערכי התגים שהוגדרו על ידי הגילוי ברמת הארגון, אתם צריכים לוודא שרק סוכן השירות של הגדרת הגילוי ברמת הארגון יכול לצרף את התג הזה למשאבים. במאמר ניהול הגישה לתגים בתיעוד של מנהל המשאבים מוסבר איך להעניק תפקיד ברמת התג.

פתרון בעיות במקרה של שגיאות

בקטע הזה מתוארות שגיאות שיכולות להתרחש כשמשתמשים בתכונה הזו, ומוסבר איך לפתור אותן.

חלה חריגה מהמספר המרבי של התגים

לכל משאב אפשר לצרף עד 50 צמדי מפתח/ערך. ניסיון לתייג משאב שכבר הגיע למספר המקסימלי של תגים גורם לכך שיצירת הפרופיל תיכשל. מופיעה השגיאה הבאה:

The resource RESOURCE_NAME cannot be tagged because there are
too many existing tags bound to the resource. You can either disable automatic
tagging or delete at least one tag binding from the resource.

כדי לפתור את הבעיה, מנתקים תג מהמשאב. מידע נוסף:

‫BigQuery: ניתוק תגים מטבלה
‫Cloud SQL ל-MySQL: הסרת תגים ממכונות של Cloud SQL
‫Cloud SQL ל-PostgreSQL: הסרת תגים ממכונות Cloud SQL
‫Cloud Storage: דוגמאות לצירוף תגים לקטגוריה של Cloud Storage או להסרת תגים ממנה

אפשרות נוספת היא להשבית את הפעולה Tag resources בהגדרות של סריקת הגילוי.

ערך של תג נמחק או שונה, והמערכת ניסתה לצרף אותו למשאב

אם ערך של תג מסוג רמת רגישות נמחק או שונה, ו-Sensitive Data Protection מנסה לצרף את ערך התג הזה למשאב שנוצר לו פרופיל, מוצגת השגיאה הבאה:

Tag value TAG_VALUE not found, it has possibly been either deleted or renamed.

כדי לפתור את הבעיה תוכלו לנסות אחד מהפתרונות הבאים:

אם התג נמחק, צריך ליצור מחדש את ערך התג שנמחק. מוודאים שהערך של התג שנוצר מחדש זהה לערך של התג שמפנים אליו בהגדרות של סריקת הגילוי. מידע נוסף זמין במאמר בנושא יצירת תג לרמת רגישות בדף הזה.
אם השם של ערך התג השתנה, צריך לעדכן את הגדרות הסריקה של Discovery כדי להשתמש בשם החדש של ערך התג.

לסוכן השירות חסרות הרשאות

אם לסוכן השירות אין את ההרשאות שנדרשות כדי לצרף את תג רמת הרגישות למשאבים שנוצרו עבורם פרופילים, תוצג השגיאה הבאה:

The DLP service account SERVICE_AGENT_NAME is missing
permissions needed for attaching tags to resources. Check that the role
'resourcemanager.tagUser' is granted to the DLP service account.

כדי לפתור את הבעיה, בצע את הצעדים הבאים:

מקבלים את מזהה סוכן השירות שמשויך להגדרות של סריקת הגילוי:
1. עוברים לרשימת ההגדרות של סריקת הגילוי.
  
  מעבר להגדרות של סריקת גילוי
2. בסרגל הכלים, בוחרים את הארגון.
3. בוחרים את הגדרת הסריקה.
4. בדף Scan configuration details, מעתיקים את הערך של השדה סוכן שירות. המזהה של סוכן השירות הוא בפורמט של כתובת אימייל.
מקצים לסוכן השירות את התפקיד Tag User (roles/resourcemanager.tagUser) בתג של רמת הרגישות.

לחלופין, אפשר להעניק תפקיד בהתאמה אישית בתג של רמת הרגישות. לתפקיד המותאם אישית צריכה להיות ההרשאה resourcemanager.tagValues.get והרשאות ספציפיות למשאבים לניהול קישורי תגים. צריך את ההרשאות הספציפיות למשאב createTagBinding, deleteTagBinding ו-listEffectiveTags. לדוגמה, כדי לגשת לטבלאות ב-BigQuery, צריך:
- resourcemanager.tagValues.get
- bigquery.tables.createTagBinding
- bigquery.tables.deleteTagBinding
- bigquery.tables.listEffectiveTags
במאמר ניהול גישה לתגים בתיעוד של מנהל המשאבים מוסבר איך להקצות תפקיד ברמת התג.

המאמרים הבאים

יוצרים או עורכים הגדרת סריקה.

שליטה בגישה ל-IAM על סמך רמת הרגישות של הנתונים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

תג רמת רגישות

יתרונות

משאבים נתמכים

איך זה עובד

ההרשאות הנדרשות

הרשאות לניהול תגים

הרשאות להענקת גישה מותנית למשאבים

הרשאות להגדרת גילוי

יצירת תג רמת רגישות

הענקת גישה מותנית למשאבים על סמך הערך של תג רמת הרגישות

מתן גישה לחשבונות משתמשים רק לנתונים ברגישות נמוכה

מתן גישה לישויות רק לנתונים ברמת רגישות בינונית ונמוכה

הענקת גישה לישויות רק אם קיים תג של רמת הרגישות

דוגמאות למדיניות דחייה

דחיית הגישה אם אין תג של רמת רגישות

דחיית הגישה אם קיימים נתונים ברמת רגישות בינונית או גבוהה

הפעלת התיוג האוטומטי בהגדרות של Discovery

פתרון בעיות במקרה של שגיאות

חלה חריגה מהמספר המרבי של התגים

ערך של תג נמחק או שונה, והמערכת ניסתה לצרף אותו למשאב

לסוכן השירות חסרות הרשאות

המאמרים הבאים

שליטה בגישה ל-IAM על סמך רמת הרגישות של הנתונים