Dataplex Catalog-Aspekte basierend auf Statistiken aus Datenprofilen hinzufügen

Auf dieser Seite wird beschrieben, wie Sie Ihren Daten automatisch Dataplex-Aspekte hinzufügen, nachdem der Schutz sensibler Daten Ihre Ressourcen profiliert hat. Auf dieser Seite finden Sie auch Beispielabfragen, mit denen Sie Daten in Ihrer Organisation und in Projekten mit bestimmten Aspektwerten finden können.

Diese Funktion ist nützlich, wenn Sie Ihre Metadaten in Dataplex mit Informationen aus Datenprofilen für den Schutz sensibler Daten anreichern möchten. Die generierten Aspekte umfassen die folgenden Statistiken:

  • Berechnete Vertraulichkeitsstufe der Tabelle oder des Datensatzes
  • Berechnete Datenrisikostufe der Tabelle oder des Datensatzes
  • Informationstypen (infoTypes), die in der Tabelle oder im Datensatz erkannt wurden

Mithilfe von Informationen aus Datenprofilen für den Schutz sensibler Daten können Sie mit Dataplex sensible und risikoreiche Daten in Ihrer Organisation ermitteln. Anhand dieser Informationen können Sie fundierte Entscheidungen zur Verwaltung und Governance Ihrer Daten treffen.

Datenprofile

Sie können den Schutz sensibler Daten so konfigurieren, dass automatisch Profile für Daten generiert werden, die organisations-, ordner- oder projektübergreifend sind. Datenprofile enthalten Messwerte und Metadaten zu Ihren Daten und können ermitteln, wo sich sensible und risikoreiche Daten befinden. Der Schutz sensibler Daten meldet diese Messwerte auf verschiedenen Detailebenen.

Sie können Datenprofile an andere Google Cloud Dienste wie Dataplex, Pub/Sub, Security Command Center und Google Security Operations senden, um Ihre Datenverwaltung, Benachrichtigungen und Sicherheitsworkflows zu ergänzen.

Dataplex Catalog

Dataplex Catalog ist ein Dataplex-Feature, das ein einheitliches Inventar von Google Cloud Ressourcen bietet.

Mit Dataplex Catalog können Sie Ihren Daten Aspekte hinzufügen, um geschäftliche und technische Metadaten zu erfassen und so Kontext und Wissen über Ihre Ressourcen zu gewinnen. Sie können dann in Ihrer Organisation nach Daten suchen und diese finden sowie Data Governance für Ihre Daten-Assets aktivieren. Weitere Informationen finden Sie unter Aspekte.

Unterstützte Ressourcen

Der Schutz sensibler Daten kann Dataplex-Einträgen für die folgenden Ressourcen automatisch Aspekte zuweisen:

  • BigQuery-Tabellen

  • Cloud SQL-Tabellen

  • Aus BigQuery-Tabellen erstellte Vertex AI-Datasets

Cloud Storage-Buckets werden nicht in Dataplex Catalog aufgenommen. Daher ist diese Funktion nicht verfügbar, wenn Sie Cloud Storage-Daten profilieren.

Funktionsweise

Der allgemeine Workflow zum automatischen Erstellen von Dataplex Catalog-Aspekten auf Grundlage von Datenprofilen sieht so aus:

  1. Erstellen oder bearbeiten Sie eine Scankonfiguration für einen unterstützten Ressourcentyp.

  2. Achten Sie beim Schritt Aktionen hinzufügen darauf, dass die Aktion Als Aspekte an Dataplex Catalog senden aktiviert ist.

    Wenn Sie eine Scankonfiguration erstellen, ist diese Aktion standardmäßig aktiviert.

    Wenn Sie eine Scankonfiguration bearbeiten, aktivieren Sie diese Aktion.

Beim Schutz sensibler Daten wird der Aspekt Sensitive Data Protection profile des Dataplex-Eintrags für jede unterstützte Ressource, die Sie profilieren, hinzugefügt oder aktualisiert. Anschließend können Sie in Dataplex Catalog nach allen Daten in Ihrer Organisation oder Ihrem Projekt mit bestimmten Aspektwerten suchen.

Wenn Sie die Aktion Als Aspekte an Dataplex Catalog senden aktivieren, wird sie vom Schutz sensibler Daten nur auf neue und aktualisierte Profile angewendet. Vorhandene Profile, die nicht aktualisiert werden, werden nicht an Dataplex Catalog gesendet.

Felder der obersten Ebene

Der resultierende Aspekt für eine profilierte Tabelle kann die folgenden Felder der obersten Ebene haben:

Anzeigename Beispielwert Beschreibung
Sensitivity MODERATE Die berechnete Vertraulichkeitsstufe der Tabelle
Risk MODERATE Die berechnete Datenrisikostufe der Tabelle
InfoTypes
  • infoType: CREDIT_CARD_NUMBER
  • infoType: PHONE_NUMBER
  • infoType: US_SOCIAL_SECURITY_NUMBER
 Eine Liste aller in der Tabelle gefundenen infoTypes, einschließlich vorhergesagter infoTypes und anderer infoTypes. Dieses Feld wird eingefügt, wenn in der Tabelle mindestens ein infoType erkannt wurde.
Column InfoTypes
  • infoType: CREDIT_CARD_NUMBER
  • infoType: PHONE_NUMBER
 Eine Liste aller vorhergesagten infoTypes, die in allen Spalten der Tabelle gefunden wurden. Dieses Feld wird eingefügt, wenn in der Tabelle mindestens ein vorhergesagter infoType erkannt wurde.
Project Profile Weitere Informationen finden Sie auf dieser Seite unter Projektprofil und Organisationsprofil. Wird angezeigt, wenn die Ressource über eine Scankonfiguration auf Projektebene profiliert wurde.
Organization Profile Weitere Informationen finden Sie auf dieser Seite unter Projektprofil und Organisationsprofil. Wird angezeigt, wenn die Ressource über eine Scankonfiguration auf Organisations- oder Ordnerebene profiliert wurde.

Wenn für die Ressource sowohl auf Projektebene als auch auf Organisations- oder Ordnerebene ein Profil erstellt wurde, werden die Werte beider Profile im Rahmen des Schutzes sensibler Daten zusammengefasst. Der Aspekt stellt eine Vereinigung der erkannten infoTypes bereit und verwendet die höchste Bewertung der Empfindlichkeit und des Datenrisikos aus beiden Profilen.

Angenommen, das Profil auf Projektebene bewertet die Vertraulichkeit der Ressource mit MODERATE und das Profil auf Organisationsebene mit LOW. In diesem Fall lautet der Wert im Feld Sensitivity der obersten Ebene des Aspekts MODERATE.

Felder für Projekt- und Organisationsprofile

Der resultierende Sensitive Data Protection profile-Aspekt enthält je nach Ebene, auf der die Ressource profiliert wurde, eines oder beide der folgenden Felder der obersten Ebene:

Project Profile
Im Aspekt enthalten, wenn die Ressource über eine Scankonfiguration auf Projektebene profiliert wurde
Organization Profile
Ob die Ressource in den Aspekt aufgenommen wurde, wenn sie über eine Scankonfiguration auf Organisations- oder Ordnerebene profiliert wurde

Wenn die Ressource sowohl auf Projektebene als auch auf Organisations- oder Ordnerebene profiliert wurde, enthält der resultierende Aspekt sowohl die Felder Project Profile als auch Organization Profile.

Jedes Project Profile- oder Organization Profile-Feld enthält verschachtelte Sensitivity- und Risk-Felder mit den im Datenprofil aufgeführten Werten. Wenn im Datenprofil vorhergesagte und andere infoTypes aufgeführt sind, sind diese auch als verschachtelte Column InfoTypes- und InfoTypes-Felder verfügbar. Außerdem enthält jedes Project Profile- oder Organization Profile-Feld die folgenden verschachtelten Felder:

Profile

Der vollständige Ressourcenname des Datenprofils. Beispiele:

  • Profil auf Projektebene: projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
  • Profil auf Organisations- oder Ordnerebene: organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
Profile Link

Ein Link zum Profil in der Google Cloud Console. Beispiele:

  • Profil auf Projektebene: https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
  • Profil auf Organisations- oder Ordnerebene: https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Dataplex API aktivieren

Die Dataplex API muss in jedem Projekt aktiviert sein, das Ressourcen enthält, denen Sie Aspekte hinzufügen möchten. In diesem Abschnitt wird beschrieben, wie Sie die Dataplex API in einem einzelnen Projekt oder in allen Projekten in einer Organisation oder einem Ordner aktivieren.

Dataplex API in einem einzelnen Projekt aktivieren

  1. Wählen Sie das Projekt aus, in dem Sie die Dataplex API aktivieren möchten.

    Zur Projektauswahl

  2. Enable the Dataplex API.

    Enable the API

Dataplex API in allen Projekten in einer Organisation oder einem Ordner aktivieren

In diesem Abschnitt finden Sie ein Script, mit dem nach allen Projekten in einer Organisation oder einem Ordner gesucht und die Dataplex API in jedem dieser Projekte aktiviert wird.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aktivieren der Dataplex API in allen Projekten in einer Organisation oder einem Ordner benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aktivieren der Dataplex API in allen Projekten in einer Organisation oder einem Ordner erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um die Dataplex API in allen Projekten in einer Organisation oder einem Ordner zu aktivieren:

  • So suchen Sie nach allen Projekten in einer Organisation oder einem Ordner: cloudasset.assets.searchAllResources für die Organisation oder den Ordner
  • So aktivieren Sie die Dataplex API: serviceusage.services.use in jedem Projekt, in dem Sie die Dataplex API aktivieren möchten

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

So aktivieren Sie die Dataplex API in allen Projekten in einer Organisation oder einem Ordner:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Führen Sie das folgende Skript aus:

    #!/bin/bash

RESOURCE_ID="RESOURCE_ID"

gcloud asset search-all-resources \
    --scope="RESOURCE_TYPE/$RESOURCE_ID" \
    --asset-types="cloudresourcemanager.googleapis.com/Project" \
    --format="value(name)" |
    while read project_name; do
      project_id=$(echo "$project_name" | sed 's|.*/||')
      gcloud services enable "dataplex.googleapis.com" --project="$project_id"
    done

    Ersetzen Sie Folgendes:

    • RESOURCE_ID: die Organisationsnummer oder die Ordnernummer der Ressource, die die Projekte enthält
    • RESOURCE_TYPE: Der Typ der Ressource, die die Projekte enthält: organizations oder folders

Rollen und Berechtigungen zum Ansehen von Aspekten

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Ressourcen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Suchen nach Aspekten benötigen, die mit Ihren Ressourcen verknüpft sind:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Suchen nach Aspekten erforderlich sind, die mit Ihren Ressourcen verknüpft sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um nach Aspekten zu suchen, die mit Ihren Ressourcen verknüpft sind:

  • Dataplex-Einträge ansehen:
    • dataplex.entries.list
    • dataplex.entries.get
  • BigQuery-Datasets und ‑Tabellen aufrufen:
    • bigquery.datasets.get
    • bigquery.tables.get
  • Vertex AI-Datasets aufrufen: aiplatform.datasets.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Weitere Informationen zu den Berechtigungen, die für die Verwendung von Dataplex erforderlich sind, finden Sie unter Dataplex-IAM-Berechtigungen.

Generierten Aspekt für ein bestimmtes Tabellendatenprofil ermitteln

  1. Rufen Sie in der Google Cloud Console die Seite Dataplex Search auf.

    Zur Suche

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Wählen Sie unter Suchplattform auswählen als Suchmodus Dataplex Catalog aus.

  4. Geben Sie im Feld Suchen Folgendes ein:

    name:TABLE_ID

    Ersetzen Sie TABLE_ID durch die ID der Tabelle, für die das Profil erstellt wurde.

  5. Klicken Sie in der Liste auf den Tabellennamen. Die Details der BigQuery-Tabelle werden angezeigt. Alle zugehörigen Sensitive Data Protection profile-Aspekte werden im Bereich Optionale Tags und Aspekte angezeigt.

Weitere Informationen zum Suchen nach Ressourcen finden Sie unter Ressourcen im Dataplex Catalog suchen.

Beispiele für Suchanfragen

In diesem Abschnitt finden Sie Beispielsuchanfragen, mit denen Sie in Dataplex Daten in Ihrer Organisation oder Ihrem Projekt mit bestimmten Aspektwerten finden können.

Sie sehen nur die Daten, auf die Sie Zugriff haben. Der Datenzugriff wird über IAM-Berechtigungen gesteuert. Weitere Informationen finden Sie auf dieser Seite unter Rollen und Berechtigungen für die Ansicht von Aspekten.

Sie können diese Beispielabfragen in das Feld Suchen auf der Seite Dataplex Search eingeben.

Zur Suche

Informationen zum Formulieren von Abfragen finden Sie unter Suchsyntax für den Dataplex-Katalog.

Alle Ressourcen mit dem Profilaspekt „Schutz sensibler Daten“ finden

aspect:sensitive-data-protection-profile

Alle Ressourcen mit einem bestimmten Sensibilitätsfaktor finden

aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

Ersetzen Sie SENSITIVITY_SCORE durch HIGH, MODERATE, UNKNOWN oder LOW.

Weitere Informationen finden Sie unter Vertraulichkeits- und Datenrisikostufen.

Alle Ressourcen mit einem bestimmten Risikowert finden

aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

Ersetzen Sie DATA_RISK_LEVEL durch HIGH, MODERATE, UNKNOWN oder LOW.

Weitere Informationen finden Sie unter Vertraulichkeits- und Datenrisikostufen.

Alle Ressourcen mit einem Profil auf Projektebene finden

aspect:sensitive-data-protection-profile.projectProfile

Alle Ressourcen mit einem Profil auf Organisationsebene finden

aspect:sensitive-data-protection-profile.organizationProfile