יצירת פרופיל של נתונים ב-Azure Blob Storage

בדף הזה מוסבר איך להגדיר גילוי של Sensitive Data Protection ב-Azure Blob Storage. התכונה הזו זמינה רק ללקוחות שהפעילו את Security Command Center ברמת Enterprise.

גילוי Sensitive Data Protection עוזר לכם להבין אילו סוגי נתונים אתם מאחסנים ב-Blob Storage ומה רמות הרגישות של הנתונים. כשיוצרים פרופיל של נתוני Blob Storage, נוצרים פרופילים של נתוני חנות קבצים, שמספקים תובנות ומטא-נתונים לגבי קונטיינרים של Blob Storage. לכל מאגר Blob Storage, פרופיל נתונים של חנות קבצים כולל את הפרטים הבאים:

  • סוגי הקבצים שמאוחסנים במאגר, שמסווגים לאשכולות קבצים
  • רמת הרגישות של הנתונים במאגר
  • סיכום לגבי כל אשכול קבצים שזוהה, כולל סוגי המידע הרגיש שנמצאו

רשימה מלאה של תובנות ומטא-נתונים בכל פרופיל נתונים של מאגר קבצים מופיעה במאמר בנושא פרופילים של נתוני חנות בקובץ.

מידע נוסף על שירות הגילוי זמין במאמר פרופילי נתונים.

תהליך עבודה

תהליך העבודה ברמה גבוהה ליצירת פרופיל של נתונים ב-Azure Blob Storage הוא כדלקמן:

  1. ב-Security Command Center, יוצרים מחבר ל-Microsoft Azure. חשוב לוודא שבוחרים באפשרות Grant permissions for Sensitive Data Protection discovery (הענקת הרשאות לגילוי נתונים רגישים).

  2. יוצרים תבנית של בדיקה באזור global או באזור שבו מתכננים לאחסן את ההגדרה של סריקת הגילוי ואת כל פרופילי הנתונים שנוצרו.

  3. יוצרים הגדרת סריקה של Discovery עבור Azure Blob Storage.

    ‫Sensitive Data Protection יוצר פרופיל של הנתונים שלכם בהתאם ללוח הזמנים שאתם מציינים.

שיקולים לגבי מיקום הנתונים

כשמתכננים ליצור פרופיל של נתונים מספקי ענן אחרים, כדאי לשים לב לנקודות הבאות:

  • פרופילי הנתונים נשמרים לצד הגדרות סריקת הגילוי. לעומת זאת, כשיוצרים פרופיל של נתונים, הפרופילים מאוחסנים באותו אזור שבו מאוחסנים הנתונים שרוצים ליצור להם פרופיל. Google Cloud
  • אם מאחסנים את תבנית הבדיקה באזור global, מתבצעת קריאה של עותק בזיכרון של התבנית באזור שבו מאחסנים את הגדרת סריקת הגילוי.
  • הנתונים שלכם לא ישתנו. עותק של הנתונים בזיכרון נקרא באזור שבו מאוחסנת ההגדרה של סריקת הגילוי. עם זאת, Sensitive Data Protection לא מתחייב לגבי המיקום שבו הנתונים עוברים אחרי שהם מגיעים לאינטרנט הציבורי. הנתונים מוצפנים באמצעות SSL.

קבצים ומאגרים ריקים

הכלי לא סורק קבצים ומאגרי Blob Storage ריקים, ולא לוקח אותם בחשבון כשמציג את רשימת סיומות הקבצים שנמצאו. גם מאגר שמכיל רק קבצים ריקים נחשב ריק.

לפני שמתחילים

  1. ב-Security Command Center, יוצרים מחבר ל-Microsoft Azure. מידע נוסף זמין במאמר חיבור ל-Microsoft Azure לצורך הגדרה ואיסוף נתוני משאבים במסמכי התיעוד של Security Command Center.

  2. מוודאים שיש לכם את הרשאות ה-IAM שנדרשות להגדרת פרופילי נתונים ברמת הארגון.

    אם אין לכם את התפקיד Organization Administrator (roles/resourcemanager.organizationAdmin) או Security Admin (roles/iam.securityAdmin), עדיין תוכלו ליצור הגדרת סריקה. אבל אחרי שיוצרים את הגדרות הסריקה, מישהו עם אחד מהתפקידים האלה צריך להעניק לסוכן השירות גישה ליצירת פרופיל נתונים.

  3. מוודאים שיש לכם תבנית בדיקה באזור global או באזור שבו אתם מתכננים לאחסן את ההגדרה של סריקת הגילוי ואת כל פרופילי הנתונים שנוצרו.

    המשימה הזו מאפשרת ליצור באופן אוטומטי תבנית בדיקה רק באזור global. אם מדיניות הארגון מונעת יצירה של תבנית בדיקה באזור global, לפני שמבצעים את המשימה הזו צריך ליצור תבנית בדיקה באזור שבו מתכננים לאחסן את ההגדרה של סריקת הגילוי.

  4. כדי לשלוח התראות Pub/Sub לנושא כשמתרחשים אירועים מסוימים – למשל כשפרופילים של Sensitive Data Protection יוצרים מאגר חדש – צריך ליצור נושא Pub/Sub לפני שמבצעים את המשימה הזו.

כדי ליצור פרופילים של נתונים, צריך מאגר של סוכני שירות וסוכן שירות בתוכו. במשימה הזו אתם יכולים ליצור אותם באופן אוטומטי.

יצירת הגדרות סריקה

  1. עוברים לדף יצירת הגדרת סריקה.

    כניסה לדף Create scan configuration

  2. עוברים לארגון. בסרגל הכלים, לוחצים על הכלי לבחירת פרויקטים ובוחרים את הארגון.

בקטעים הבאים מוסבר בהרחבה על השלבים בדף יצירת הגדרת סריקה. בסיום כל קטע, לוחצים על המשך.

בוחרים סוג Discovery

בוחרים באפשרות Azure Blob Storage.

בחירת היקף הרשאות

מבצעים אחת מהפעולות הבאות:

  • כדי לסרוק את כל הנכסים ב-Blob Storage שיש למחבר Azure שלכם גישה אליהם, בוחרים באפשרות סריקת כל נכסי Azure שזמינים דרך המחבר.
  • כדי לסרוק את הנתונים ב-Blob Storage במינוי Azure יחיד, בוחרים באפשרות Scan one Azure subscription (סריקת מינוי Azure אחד). מזינים את מזהה המינוי.
  • כדי לסרוק מאגר Blob Storage יחיד, בוחרים באפשרות סריקת מאגר Blob Storage יחיד ב-Azure. מזינים את הפרטים של המאגר שרוצים לסרוק.

ניהול לוחות זמנים

אם תדירות יצירת הפרופילים שמוגדרת כברירת מחדל מתאימה לצרכים שלכם, אתם יכולים לדלג על הקטע הזה בדף יצירת הגדרות סריקה.

מגדירים את הקטע הזה מהסיבות הבאות:

  • כדי לבצע שינויים מדויקים בתדירות יצירת הפרופילים של כל הנתונים או של קבוצות משנה מסוימות של הנתונים.
  • כדי לציין את מאגרי התגים שלא רוצים ליצור להם פרופיל.
  • כדי לציין את מאגרי התגים שלא רוצים ליצור להם פרופיל יותר מפעם אחת.

כדי לבצע התאמות מדויקות בתדירות של יצירת הפרופיל, פועלים לפי השלבים הבאים:

  1. לוחצים על הוספת תזמון.

  2. בקטע Filters (מסננים), מגדירים מסנן אחד או יותר שמציין אילו קונטיינרים כלולים בהיקף של התזמון. מאגר נחשב כנכלל בהיקף של לוח הזמנים אם הוא תואם לפחות לאחד מהמסננים שהוגדרו.

    כדי להגדיר מסנן, צריך לציין לפחות אחד מהערכים הבאים:

    • מזהה מינוי או ביטוי רגולרי שמציין מזהה מינוי אחד או יותר
    • שם מאגר או ביטוי רגולרי שמציין מאגר אחד או יותר

    הביטויים הרגולריים צריכים להיות בהתאם לתחביר RE2.

    לדוגמה, אם רוצים שכל מאגרי התגים בחשבון ייכללו במסנן, מזינים את מזהה המינוי בשדה מזהה המינוי.

    כדי שתאג יתאים למסנן, הוא צריך לעמוד בכל הביטויים הרגולריים שצוינו במסנן.

    כדי להוסיף עוד מסננים, לוחצים על הוספת מסנן וחוזרים על השלב הזה.

  3. לוחצים על תדירות.

  4. בקטע תדירות, מציינים אם ליצור פרופיל של מאגרי התגים שבחרתם, ואם כן, באיזו תדירות:

    • אם אתם לא רוצים שהמערכת תיצור פרופילים של מאגרי התגים, אתם יכולים להשבית את האפשרות יצירת פרופיל של הנתונים האלה.

    • אם רוצים ליצור פרופיל של המאגרי התגים לפחות פעם אחת, משאירים את האפשרות Do profile this data מופעלת.

      מציינים אם צריך ליצור פרופיל חדש לנתונים, ואילו אירועים צריכים להפעיל את הפעולה הזו. מידע נוסף זמין במאמר בנושא תדירות יצירת פרופיל הנתונים.

      1. בקטע On a schedule (לפי לוח זמנים), מציינים באיזו תדירות רוצים שהפרופילים של מאגרי התגים ייווצרו מחדש. הפרופילים של הקונטיינרים נוצרים מחדש, בלי קשר לשאלה אם הם עברו שינויים כלשהם.
      2. בקטע When inspect template changes (כשמתבצעים שינויים בתבנית הבדיקה), מציינים אם רוצים שהנתונים ינותחו מחדש כשמתעדכנת תבנית הבדיקה המשויכת, ואם כן, באיזו תדירות.

        שינוי בתבנית בדיקה מזוהה באחד מהמקרים הבאים:

        • השם של תבנית הבדיקה משתנה בהגדרת הסריקה.
        • התבנית updateTime של תבנית בדיקה משתנה.

        3. לדוגמה, אם הגדרתם תבנית בדיקה לאזור us-west1 ועדכנתם את תבנית הבדיקה הזו, רק נתונים באזור us-west1 יעברו פרופיל מחדש.

  5. אופציונלי: לוחצים על תנאים.

    בקטע תנאים, מציינים את התנאים שהמאגרים – שמוגדרים במסננים – צריכים לעמוד בהם לפני ש-Sensitive Data Protection יסווג אותם.

    כברירת מחדל, Sensitive Data Protection סורק את כל האובייקטים במאגר. אם רוצים לסרוק רק את האובייקטים ברמת גישה מסוימת של Blob, בוחרים את הרמות האלה. כדי לכלול בלובים שלא מוגדרת להם רמת גישה, בוחרים באפשרות לא רלוונטי.

  6. לוחצים על סיום.

  7. אופציונלי: כדי להוסיף עוד לוחות זמנים, לוחצים על הוספת לוח זמנים וחוזרים על השלבים הקודמים.

  8. כדי לציין את סדר העדיפות בין לוחות הזמנים, משנים את הסדר שלהם באמצעות החצים למעלה ו למטה.

    הסדר של לוחות הזמנים מציין איך נפתרות התנגשויות בין לוחות זמנים. אם מאגר תואם למסננים של שני לוחות זמנים שונים, לוח הזמנים שמופיע גבוה יותר ברשימת לוחות הזמנים קובע את תדירות יצירת הפרופיל עבור אותו מאגר.

  9. אופציונלי: עורכים או משביתים את לוח הזמנים הכללי.

    לוח הזמנים האחרון ברשימה הוא לוח הזמנים הכללי. התזמון הזה חל על מאגרי התגים בהיקף שבחרתם שלא תואמים לאף אחד מהתזמונים שיצרתם. לוח הזמנים של כלל התפיסה פועל לפי תדירות ברירת המחדל של המערכת ליצירת פרופילים.

    • כדי לשנות את לוח הזמנים של כתובת catch-all, לוחצים על עריכת לוח הזמנים ומשנים את ההגדרות לפי הצורך.
    • כדי למנוע מ-Sensitive Data Protection ליצור פרופיל של משאבים שנכללים בלוח הזמנים הכללי, משביתים את האפשרות יצירת פרופיל של משאבים שלא תואמים ללוח זמנים מותאם אישית.

בחירת תבנית בדיקה

בוחרים באחת מהאפשרויות הבאות, בהתאם לאופן שבו רוצים לספק הגדרת בדיקה. לא משנה באיזו אפשרות תבחרו, Sensitive Data Protection יסרוק את הנתונים שלכם באזור שבו הם מאוחסנים. כלומר, הנתונים לא יוצאים מהאזור שבו הם נוצרו.

אפשרות 1: יצירת תבנית בדיקה

בוחרים באפשרות הזו אם רוצים ליצור תבנית חדשה לבדיקה באזור global.

  1. לוחצים על יצירת תבנית חדשה לבדיקה.

  2. אופציונלי: כדי לשנות את ברירת המחדל של סוגי המידע, לוחצים על ניהול סוגי מידע.

    מידע נוסף על ניהול של סוגי מידע מובנים ומותאמים אישית זמין במאמר בנושא ניהול סוגי מידע דרך מסוףGoogle Cloud .

    כדי להמשיך, צריך לבחור לפחות סוג מידע אחד.

  3. אופציונלי: אפשר להוסיף עוד כללים ולהגדיר סף מהימנות כדי להגדיר עוד את תבנית הבדיקה. מידע נוסף זמין במאמר בנושא הגדרת זיהוי.

כש-Sensitive Data Protection יוצרת את הגדרת הסריקה, היא מאחסנת את תבנית הבדיקה החדשה באזור global.

אפשרות 2: שימוש בתבנית בדיקה קיימת

בוחרים באפשרות הזו אם יש לכם תבניות בדיקה קיימות שאתם רוצים להשתמש בהן.

  1. לוחצים על בחירה בתבנית בדיקה קיימת.
  2. מזינים את שם המשאב המלא של תבנית הבדיקה שרוצים להשתמש בה. השדה אזור מאוכלס אוטומטית בשם האזור שבו מאוחסנת תבנית הבדיקה.

    תבנית הבדיקה שאתם מזינים צריכה להיות באותו אזור שבו אתם מתכננים לאחסן את ההגדרה של סריקת הגילוי ואת כל פרופילי הנתונים שנוצרו.

    כדי לכבד את דרישות שמירת הנתונים, Sensitive Data Protection לא משתמש בתבנית בדיקה מחוץ לאזור שבו התבנית מאוחסנת.

    כדי למצוא את שם המשאב המלא של תבנית בדיקה, פועלים לפי השלבים הבאים:

    1. עוברים לרשימת תבניות הבדיקה. הדף הזה ייפתח בכרטיסייה נפרדת.

      מעבר לתבניות בדיקה

    2. בוחרים את הפרויקט שמכיל את תבנית הבדיקה שרוצים להשתמש בה.
    3. בוחרים באפשרות Configuration > Templates > Inspect (הגדרה > תבניות > בדיקה), ואז לוחצים על מזהה התבנית שרוצים להשתמש בה.
    4. בדף שנפתח, מעתיקים את שם המשאב המלא של התבנית. הפורמט של השם המלא של המשאב הוא: 
      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. בדף Create scan configuration (יצירת הגדרת סריקה), בשדה Template name (שם התבנית), מדביקים את שם המשאב המלא של התבנית.

הוספת פעולות

בקטע הזה מוסבר איך מציינים פעולות שרוצים ש-Sensitive Data Protection יבצע אחרי יצירת פרופיל של קונטיינר. הפעולות האלה שימושיות אם רוצים לשלוח תובנות שנאספו מפרופילי נתונים לשירותים אחרים שלGoogle Cloud .

פרסום ב-Google Security Operations

מדדים שנאספים מפרופילי נתונים יכולים להוסיף הקשר לממצאים של Google Security Operations. ההקשר הנוסף יכול לעזור לכם לקבוע אילו בעיות אבטחה הכי חשוב לפתור.

לדוגמה, אם אתם בודקים סוכן שירות מסוים, Google Security Operations יכול לקבוע לאילו משאבים סוכן השירות ניגש, ואם יש במשאבים האלה נתונים רגישים.

כדי לשלוח את פרופילי הנתונים למופע של Google Security Operations, מפעילים את האפשרות פרסום ב-Google Security Operations.

אם לא הפעלתם מופע של Google Security Operations בארגון שלכם – באמצעות מוצר עצמאי או באמצעות Security Command Center Enterprise – הפעלת האפשרות הזו לא תשפיע על כלום.

פרסום ב-Security Command Center

הממצאים מפרופילי הנתונים מספקים הקשר כשממיינים ומפתחים תוכניות תגובה לממצאי נקודות החולשה והאיומים ב-Security Command Center.

כדי לשלוח את התוצאות של פרופילי הנתונים אל Security Command Center, מוודאים שהאפשרות פרסום ב-Security Command Center מופעלת.

מידע נוסף זמין במאמר בנושא פרסום פרופילי נתונים ב-Security Command Center.

שמירת עותקים של פרופיל הנתונים ב-BigQuery

‫Sensitive Data Protection שומר עותק של כל פרופיל נתונים שנוצר בטבלה ב-BigQuery. אם לא תספקו את הפרטים של הטבלה המועדפת, שירות Sensitive Data Protection ייצור מערך נתונים וטבלה במאגר של סוכן השירות. כברירת מחדל, קבוצת הנתונים נקראת sensitive_data_protection_discovery והטבלה נקראת discovery_profiles.

הפעולה הזו מאפשרת לכם לשמור היסטוריה של כל הפרופילים שנוצרו. היסטוריה כזו יכולה להיות שימושית ליצירת דוחות ביקורת ולהצגת פרופילים של נתונים. אפשר גם לטעון את המידע הזה למערכות אחרות.

בנוסף, האפשרות הזו מאפשרת לכם לראות את כל פרופילי הנתונים בתצוגה אחת, בלי קשר לאזור שבו הנתונים נמצאים. אפשר גם לראות את פרופילי הנתונים דרך מסוףGoogle Cloud , אבל במסוף מוצגים הפרופילים רק מאזור אחד בכל פעם.

כאשר Sensitive Data Protection לא מצליח ליצור פרופיל של קונטיינר, הוא מנסה שוב מעת לעת. כדי למזער רעשים בנתונים המיוצאים, Sensitive Data Protection מייצא ל-BigQuery רק את הפרופילים שנוצרו בהצלחה.

הייצוא של פרופילים באמצעות Sensitive Data Protection מתחיל מרגע שמפעילים את האפשרות הזו. פרופילים שנוצרו לפני שהפעלתם את הייצוא לא נשמרים ב-BigQuery.

לדוגמה, שאילתות שאפשר להשתמש בהן כשמנתחים פרופילי נתונים מופיעות במאמר ניתוח פרופילי נתונים.

שמירת ממצאים לדוגמה של גילוי ב-BigQuery

בעזרת Sensitive Data Protection אפשר להוסיף ממצאים לדוגמה לטבלה ב-BigQuery שתבחרו. ממצאי הדוגמה מייצגים קבוצת משנה של כל הממצאים, ויכול להיות שהם לא מייצגים את כל סוגי המידע שהמערכת גילתה. בדרך כלל, המערכת יוצרת כ-10 ממצאים לדוגמה לכל מאגר, אבל המספר הזה יכול להשתנות בכל הפעלה של גילוי.

כל ממצא כולל את המחרוזת בפועל (שנקראת גם ציטוט) שזוהתה ואת המיקום המדויק שלה.

הפעולה הזו שימושית אם רוצים לבדוק אם הגדרת הבדיקה מתאימה לסוג המידע שרוצים לסמן כרגיש. באמצעות פרופילי הנתונים המיוצאים וממצאי הדגימה המיוצאים, אפשר להריץ שאילתות כדי לקבל מידע נוסף על הפריטים הספציפיים שסומנו, על סוגי המידע שהם תואמים להם, על המיקומים המדויקים שלהם, על רמות הרגישות המחושבות שלהם ועל פרטים נוספים.

כדי להשתמש בדוגמה הזו, צריך להפעיל את האפשרויות שמירת עותקים של פרופיל הנתונים ב-BigQuery ושמירת ממצאי גילוי לדוגמה ב-BigQuery.

השאילתה הבאה משתמשת בפעולה INNER JOIN גם בטבלה של פרופילי הנתונים המיוצאים וגם בטבלה של ממצאי הדוגמה המיוצאים. בטבלה שמתקבלת, כל רשומה מציגה את הציטוט של הממצא, את סוג המידע שתאם לו, את המשאב שמכיל את הממצא ואת רמת הרגישות המחושבת של המשאב. 

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

כדי לשמור ממצאים לדוגמה בטבלה ב-BigQuery, פועלים לפי השלבים הבאים:

  1. מפעילים את האפשרות שמירת ממצאי גילוי לדוגמה ב-BigQuery.

  2. מזינים את הפרטים של הטבלה ב-BigQuery שבה רוצים לשמור את הממצאים לדוגמה.

    הטבלה שמציינים לפעולה הזו צריכה להיות שונה מהטבלה שמשמשת לפעולה שמירת עותקים של פרופיל הנתונים ב-BigQuery.

    • בקטע מזהה פרויקט, מזינים את המזהה של פרויקט קיים שאליו רוצים לייצא את הממצאים.

    • בשדה Dataset ID מזינים את השם של מערך נתונים קיים בפרויקט.

    • בשדה מזהה הטבלה, מזינים את השם של הטבלה ב-BigQuery שבה רוצים לשמור את הממצאים. אם הטבלה הזו לא קיימת, Sensitive Data Protection יוצר אותה באופן אוטומטי בשם שאתם מספקים.

למידע על התוכן של כל ממצא שנשמר בטבלה ב-BigQuery, אפשר לעיין במאמר DataProfileFinding.

פרסום ב-Pub/Sub

הפעלת האפשרות פרסום ב-Pub/Sub מאפשרת לכם לבצע פעולות פרוגרמטיות על סמך תוצאות הפרופילים. אתם יכולים להשתמש בהתראות של Pub/Sub כדי לפתח תהליך עבודה לזיהוי ולתיקון של ממצאים עם סיכון משמעותי לנתונים או רגישות משמעותית של נתונים.

כדי לשלוח התראות לנושא Pub/Sub, פועלים לפי השלבים הבאים:

  1. מפעילים את האפשרות פרסום ב-Pub/Sub.

    מופיעה רשימת אפשרויות. כל אפשרות מתארת אירוע שגורם ל-Sensitive Data Protection לשלוח התראה ל-Pub/Sub.

  2. בוחרים את האירועים שיפעילו התראת Pub/Sub.

    אם בוחרים באפשרות שליחת התראה ב-Pub/Sub בכל פעם שמתעדכן פרופיל, המערכת של Sensitive Data Protection שולחת התראה כשמתבצע שינוי במדדים חשובים בפרופיל, כמו רמת הרגישות, רמת הסיכון של הנתונים, סוגי המידע שזוהו, הגישה הציבורית ועוד.

  3. לכל אירוע שבוחרים, פועלים לפי השלבים הבאים:

    1. מזינים את שם הנושא. השם צריך להיות בפורמט הבא:

      projects/PROJECT_ID/topics/TOPIC_ID

      מחליפים את מה שכתוב בשדות הבאים:

      • PROJECT_ID: מזהה הפרויקט שמשויך לנושא ב-Pub/Sub.
      • TOPIC_ID: המזהה של נושא ה-Pub/Sub.

    2. מציינים אם לכלול בהתראה את הפרופיל המלא של מאגר התגים או רק את השם המלא של המשאב של מאגר התגים שנוצר לו פרופיל.

    3. מגדירים את רמות הסיכון והרגישות המינימליות של הנתונים שצריך לעמוד בהן כדי ש-Sensitive Data Protection תשלח התראה.

    4. מציינים אם צריך לעמוד רק באחד מהתנאים של רמת הסיכון והרגישות של הנתונים, או בשניהם. לדוגמה, אם בוחרים באפשרות AND, התראת Sensitive Data Protection תישלח רק אם יתקיימו גם התנאים של סיכון הנתונים וגם התנאים של הרגישות.

ניהול של קונטיינר וחיוב של סוכן שירות

בקטע הזה מציינים את הפרויקט שבו רוצים להשתמש כמאגר של סוכני שירות. אתם יכולים לאפשר ל-Sensitive Data Protection ליצור פרויקט חדש באופן אוטומטי, או לבחור פרויקט קיים.

בין אם אתם משתמשים בסוכן שירות חדש או בסוכן שירות קיים, חשוב לוודא שיש לו גישת קריאה לנתונים שאתם רוצים ליצור להם פרופיל.

יצירת פרויקט באופן אוטומטי

אם אין לכם את ההרשאות שדרושות ליצירת פרויקט בארגון, אתם צריכים לבחור פרויקט קיים במקום זאת או לקבל את ההרשאות הנדרשות. מידע על ההרשאות הנדרשות זמין במאמר תפקידים שנדרשים לעבודה עם פרופילי נתונים ברמת הארגון או התיקייה.

כדי ליצור באופן אוטומטי פרויקט לשימוש כמאגר של סוכן השירות:

  1. בשדה Service agent container, בודקים את מזהה הפרויקט המוצע ועורכים אותו לפי הצורך.
  2. לוחצים על יצירה.
  3. אופציונלי: מעדכנים את שם ברירת המחדל של הפרויקט.

  4. בוחרים את החשבון לחיוב עבור כל הפעולות שניתנות לחיוב שקשורות לפרויקט החדש הזה, כולל פעולות שלא קשורות לגילוי.

  5. לוחצים על יצירה.

הפרויקט החדש נוצר על ידי Sensitive Data Protection. סוכן השירות בפרויקט הזה ישמש לאימות ב-Sensitive Data Protection ובממשקי API אחרים.

בחירת פרויקט קיים

כדי לבחור פרויקט קיים כמאגר של סוכן השירות, לוחצים על השדה Service agent container (מאגר של סוכן השירות) ובוחרים את הפרויקט.

הגדרת המיקום לאחסון ההגדרה

לוחצים על הרשימה מיקום המשאב ובוחרים את האזור שבו רוצים לאחסן את הגדרת הסריקה הזו. כל הגדרות הסריקה שתיצרו בהמשך יאוחסנו גם הן במיקום הזה.

המיקום שבו תבחרו לאחסן את הגדרות הסריקה לא ישפיע על הנתונים שייסרקו. הנתונים שלכם נסרקים באותו אזור שבו הם מאוחסנים. מידע נוסף זמין במאמר שיקולים לגבי מיקום הנתונים.

בדיקה ויצירה של ההגדרה

  1. אם רוצים לוודא שהפרופיל לא יתחיל באופן אוטומטי אחרי שיוצרים את הגדרת הסריקה, בוחרים באפשרות יצירת סריקה במצב מושהה.

    האפשרות הזו שימושית במקרים הבאים:

    • האדמין Google Cloud שלכם עדיין צריך להעניק לסוכן השירות גישה ליצירת פרופיל של הנתונים.
    • אתם רוצים ליצור כמה הגדרות סריקה, וחלק מההגדרות יבטלו הגדרות אחרות.
    • בחרתם לשמור פרופילי נתונים ב-BigQuery ואתם רוצים לוודא שלסוכן השירות יש גישת כתיבה לטבלה ב-BigQuery שבה יישמרו העותקים של פרופילי הנתונים.
    • בחרתם לשמור את הממצאים של גילוי הדוגמאות ב-BigQuery, ואתם רוצים לוודא שלסוכן השירות יש הרשאת כתיבה לטבלה ב-BigQuery שבה יישמרו הממצאים של הדוגמאות.
    • הגדרתם התראות Pub/Sub ואתם רוצים להעניק סוכנות שירות גישה לפרסום.
  2. בודקים את ההגדרות ולוחצים על יצירה.

    Sensitive Data Protection יוצר את הגדרת הסריקה ומוסיף אותה לרשימת הגדרות הסריקה לגילוי.

כדי לראות את הגדרות הסריקה או לנהל אותן, אפשר לעיין במאמר ניהול הגדרות הסריקה.

המאמרים הבאים