Cette page explique comment ajouter automatiquement des aspects Dataplex à vos données après que Sensitive Data Protection a profilé vos ressources. Cette page fournit également des exemples de requêtes que vous pouvez utiliser pour rechercher des données dans votre organisation et vos projets avec des valeurs d'aspect spécifiques.
Cette fonctionnalité est utile si vous souhaitez enrichir vos métadonnées dans Dataplex avec les insights recueillis à partir des profils de données de la protection des données sensibles. Les aspects générés incluent les insights suivants:
- Niveau de sensibilité calculé de la table ou de l'ensemble de données
- Niveau de risque lié aux données calculé pour la table ou l'ensemble de données
- Types d'informations (infoTypes) détectés dans le tableau ou l'ensemble de données
Les insights issus des profils de données de la protection des données sensibles peuvent vous aider à utiliser Dataplex pour découvrir les données sensibles et à haut risque dans votre organisation. Utilisez ces insights pour prendre des décisions éclairées sur la façon de gérer et de régir vos données.
À propos des profils de données
Vous pouvez configurer la protection des données sensibles pour générer automatiquement des profils sur les données au sein d'une organisation, d'un dossier ou d'un projet. Les profils de données contiennent des métriques et des métadonnées sur vos données, et vous permettent de déterminer l'emplacement des données sensibles et à haut risque. La protection des données sensibles signale ces métriques à différents niveaux de détail.
Vous pouvez envoyer des profils de données à d'autres Google Cloud services tels que Dataplex, Pub/Sub, Security Command Center et Google Security Operations pour enrichir vos workflows de gouvernance, d'alerte et de sécurité des données.
À propos de Dataplex Catalog
Dataplex Catalog est une fonctionnalité de Dataplex qui fournit un inventaire unifié des ressources Google Cloud .
Le catalogue Dataplex vous permet d'utiliser des aspects pour ajouter des métadonnées commerciales et techniques à vos données afin de capturer le contexte et les connaissances sur vos ressources. Vous pouvez ensuite rechercher et découvrir des données dans l'ensemble de votre organisation, et activer la gouvernance des données sur vos composants de données. Pour en savoir plus, consultez la section Aspects.
Ressources compatibles
La protection des données sensibles peut associer automatiquement des aspects aux entrées Dataplex pour les ressources suivantes:
- les tables BigQuery
Tables Cloud SQL
Ensembles de données Vertex AI créés à partir de tables BigQuery
Le catalogue Dataplex n'ingère pas les buckets Cloud Storage. Par conséquent, cette fonctionnalité n'est pas disponible lorsque vous profilez des données Cloud Storage.
Fonctionnement
Le workflow d'ensemble permettant de créer automatiquement des aspects du catalogue Dataplex en fonction des profils de données est le suivant:
Créez ou modifiez une configuration d'analyse pour un type de ressource compatible.
À l'étape Ajouter des actions, assurez-vous que l'action Envoyer au catalogue Dataplex sous forme d'aspects est activée.
Si vous créez une configuration d'analyse, cette action est activée par défaut.
Si vous modifiez une configuration d'analyse, activez cette action.
La protection des données sensibles ajoute ou met à jour l'aspect Sensitive Data Protection profile de l'entrée Dataplex pour chaque ressource compatible que vous profilez. Vous pouvez ensuite rechercher dans le catalogue Dataplex toutes les données de votre organisation ou de votre projet avec des valeurs d'aspect spécifiques.
Lorsque vous activez l'action Envoyer au catalogue Dataplex sous forme d'aspects, la protection des données sensibles applique cette action uniquement aux profils nouveaux et mis à jour. Les profils existants qui ne sont pas mis à jour ne sont pas envoyés au catalogue Dataplex.
Champs de premier niveau
L'aspect obtenu pour une table profilée peut comporter les champs de niveau supérieur suivants:
| Nom à afficher | Exemple de valeur | Description |
|---|---|---|
Sensitivity |
MODERATE |
Niveau de sensibilité calculé de la table |
Risk |
MODERATE |
Niveau de risque lié aux données calculé de la table |
InfoTypes |
|
Liste de tous les infoTypes trouvés dans le tableau, y compris les infoTypes prédits et les autres infoTypes. Ce champ est inclus si au moins un infoType a été détecté dans le tableau. |
Column InfoTypes |
|
Liste de tous les infoTypes prédits trouvés dans toutes les colonnes du tableau. Ce champ est inclus si au moins un infoType prédit a été détecté dans le tableau. |
Project Profile |
Consultez la section Profil du projet et profil de l'organisation sur cette page. | Inclus si la ressource a été profilée via une configuration d'analyse au niveau du projet. |
Organization Profile |
Consultez la section Profil du projet et profil de l'organisation sur cette page. | Inclus si la ressource a été profilée via une configuration d'analyse au niveau de l'organisation ou du dossier. |
Si la ressource a été profilée au niveau du projet et de l'organisation ou du dossier, la protection des données sensibles agrège les valeurs des deux profils. L'aspect fournit une union des infoTypes détectés et utilise les niveaux de sensibilité et de risque liés aux données les plus élevés des deux profils.
Par exemple, supposons que le profil au niveau du projet évalue la sensibilité de la ressource à MODERATE et que le profil au niveau de l'organisation évalue la sensibilité à LOW. Dans ce cas, la valeur du champ Sensitivity de premier niveau de l'aspect est MODERATE.
Champs du profil du projet et du profil de l'organisation
L'aspect Sensitive Data Protection profile obtenu inclut l'un ou les deux champs de premier niveau suivants, en fonction du niveau auquel la ressource a été profilée:
Project Profile- Inclus dans l'aspect si la ressource a été profilée via une configuration d'analyse au niveau du projet
Organization Profile- Inclus dans l'aspect si la ressource a été profilée via une configuration d'analyse au niveau de l'organisation ou du dossier
Si la ressource a été profilée à la fois au niveau du projet et de l'organisation ou du dossier, l'aspect obtenu contient à la fois les champs Project Profile et Organization Profile.
Chaque champ Project Profile ou Organization Profile contient des champs Sensitivity et Risk imbriqués avec les valeurs listées dans le profil de données. Si le profil de données contient des infoTypes prédits et d'autres infoTypes, ils sont également disponibles en tant que champs Column InfoTypes et InfoTypes imbriqués. De plus, chaque champ Project Profile ou Organization Profile contient les champs imbriqués suivants:
ProfileNom de ressource complet du profil de données. Exemples :
- Profil au niveau du projet:
projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID - Profil au niveau de l'organisation ou du dossier:
organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
- Profil au niveau du projet:
Profile LinkLien vers le profil dans la console Google Cloud . Exemples :
- Profil au niveau du projet:
https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID - Profil au niveau de l'organisation ou du dossier:
https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
- Profil au niveau du projet:
Activer l'API Dataplex
L'API Dataplex doit être activée dans chaque projet contenant des ressources auxquelles vous souhaitez ajouter des aspects. Cette section explique comment activer l'API Dataplex dans un seul projet ou dans tous les projets d'une organisation ou d'un dossier.
Activer l'API Dataplex dans un seul projet
Sélectionnez le projet dans lequel vous souhaitez activer l'API Dataplex.
-
Enable the Dataplex API.
Activer l'API Dataplex dans tous les projets d'une organisation ou d'un dossier
Cette section fournit un script qui recherche tous les projets d'une organisation ou d'un dossier, puis active l'API Dataplex dans chacun de ces projets.
Pour obtenir les autorisations nécessaires pour activer l'API Dataplex dans tous les projets d'une organisation ou d'un dossier, demandez à votre administrateur de vous accorder les rôles IAM suivants:
-
Lecteur d'éléments Cloud (
roles/cloudasset.viewer) sur l'organisation ou le dossier -
Utilisateur DLP (
roles/dlp.user) sur chaque projet pour lequel vous souhaitez activer l'API Dataplex
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour activer l'API Dataplex dans tous les projets d'une organisation ou d'un dossier. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour activer l'API Dataplex dans tous les projets d'une organisation ou d'un dossier:
-
Pour rechercher tous les projets d'une organisation ou d'un dossier :
cloudasset.assets.searchAllResourcessur l'organisation ou le dossier -
Pour activer l'API Dataplex :
serviceusage.services.usedans chaque projet pour lequel vous souhaitez activer l'API Dataplex
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Pour activer l'API Dataplex dans tous les projets d'une organisation ou d'un dossier, procédez comme suit:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Exécutez le script suivant :
#!/bin/bash RESOURCE_ID="RESOURCE_ID" gcloud asset search-all-resources \ --scope="RESOURCE_TYPE/$RESOURCE_ID" \ --asset-types="cloudresourcemanager.googleapis.com/Project" \ --format="value(name)" | while read project_name; do project_id=$(echo "$project_name" | sed 's|.*/||') gcloud services enable "dataplex.googleapis.com" --project="$project_id" doneRemplacez les éléments suivants :
RESOURCE_ID: numéro de l'organisation ou numéro du dossier de la ressource contenant les projetsRESOURCE_TYPE: type de ressource contenant les projets (organizationsoufolders)
Rôles et autorisations pour afficher des aspects
Pour obtenir les autorisations nécessaires pour rechercher des aspects associés à vos ressources, demandez à votre administrateur de vous accorder les rôles IAM suivants sur les ressources:
-
Lecteur du catalogue Dataplex (
roles/dataplex.catalogViewer) -
Lecteur de données BigQuery (
roles/bigquery.dataViewer) -
Lecteur Vertex AI (
roles/aiplatform.viewer)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour rechercher des aspects associés à vos ressources. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour rechercher des aspects associés à vos ressources:
-
Afficher les entrées Dataplex :
-
dataplex.entries.list -
dataplex.entries.get
-
-
Afficher les ensembles de données et les tables BigQuery :
-
bigquery.datasets.get -
bigquery.tables.get
-
-
Afficher les ensembles de données Vertex AI :
aiplatform.datasets.get
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Pour en savoir plus sur les autorisations requises pour utiliser Dataplex, consultez la section Autorisations IAM Dataplex.
Trouver l'aspect généré pour un profil de données de table donné
Dans la Google Cloud console, accédez à la page Recherche de Dataplex.
Sélectionnez votre organisation ou votre projet.
Pour Choisir une plate-forme de recherche, sélectionnez Dataplex Catalog comme mode de recherche.
Dans le champ Rechercher, saisissez ce qui suit:
name:TABLE_IDRemplacez
TABLE_IDpar l'ID de la table profilée.Dans la liste qui s'affiche, cliquez sur le nom de la table. Les détails de la table BigQuery s'affichent. Tous les aspects
Sensitive Data Protection profilequi lui sont associés s'affichent dans la section Tags et aspects facultatifs.
Pour découvrir comment rechercher des ressources, consultez la section Rechercher des ressources dans le catalogue Dataplex.
Exemples de requêtes de recherche
Cette section fournit des exemples de requêtes de recherche que vous pouvez utiliser dans Dataplex pour rechercher des données dans votre organisation ou votre projet avec des valeurs d'aspect spécifiques.
Vous ne pouvez trouver que les données auxquelles vous avez accès. L'accès aux données est contrôlé par les autorisations IAM. Pour en savoir plus, consultez la section Rôles et autorisations pour afficher les aspects sur cette page.
Vous pouvez saisir ces exemples de requêtes dans le champ Rechercher de la page Recherche de Dataplex.
Pour savoir comment formuler les requêtes, consultez la section Syntaxe de recherche pour Dataplex Catalog.
Rechercher toutes les ressources associées à l'aspect du profil de protection des données sensibles
aspect:sensitive-data-protection-profile
Rechercher toutes les ressources avec un score de sensibilité donné
aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE
Remplacez SENSITIVITY_SCORE par HIGH, MODERATE, UNKNOWN ou LOW.
Pour en savoir plus, consultez la page Niveaux de sensibilité et de risques liés aux données.
Rechercher toutes les ressources avec un score de risque donné
aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL
Remplacez DATA_RISK_LEVEL par HIGH, MODERATE, UNKNOWN ou LOW.
Pour en savoir plus, consultez la page Niveaux de sensibilité et de risques liés aux données.
Rechercher toutes les ressources associées à un profil au niveau du projet
aspect:sensitive-data-protection-profile.projectProfile
Rechercher toutes les ressources associées à un profil au niveau de l'organisation
aspect:sensitive-data-protection-profile.organizationProfile