Aggiungere aspetti di Dataplex Catalog in base agli approfondimenti dei profili dei dati

Questa pagina descrive come aggiungere automaticamente gli aspetti di Dataplex ai dati dopo che Sensitive Data Protection ha creato il profilo delle risorse. Questa pagina fornisce inoltre query di esempio che puoi utilizzare per trovare dati all'interno della tua organizzazione e dei tuoi progetti con valori di aspetto specifici.

Questa funzionalità è utile se vuoi arricchire i metadati in Dataplex con gli approfondimenti raccolti dai profili dei dati di Sensitive Data Protection. Gli aspetti generati includono i seguenti approfondimenti:

  • Livello di sensibilità calcolato della tabella o del set di dati
  • Livello di rischio dei dati calcolato della tabella o del set di dati
  • Tipi di informazioni (infoType) rilevati nella tabella o nel set di dati

Le informazioni ricavate dai profili di dati di Sensitive Data Protection possono aiutarti a utilizzare Dataplex per rilevare i dati sensibili e ad alto rischio nella tua organizzazione. Utilizza questi insight per prendere decisioni consapevoli su come gestire e governare i tuoi dati.

Informazioni sui profili di dati

Puoi configurare Sensitive Data Protection in modo da generare automaticamente profili dei dati in un'organizzazione, una cartella o un progetto. I profili di dati contengono metriche e metadati sui tuoi dati e ti aiutano a determinare dove si trovano i dati sensibili e ad alto rischio. Sensitive Data Protection genera report su queste metriche a vari livelli di dettaglio.

Puoi inviare i profili dei dati ad altri Google Cloud servizi come Dataplex, Pub/Sub, Security Command Center e Google Security Operations per arricchire i flussi di lavoro di governance, avviso e sicurezza dei dati.

Informazioni su Dataplex Catalog

Dataplex Catalog è una funzionalità di Dataplex che fornisce un inventario unificato di risorse Google Cloud .

Dataplex Catalog ti consente di utilizzare gli aspetti per aggiungere ai dati metadati aziendali e tecnici al fine di acquisire il contesto e le conoscenze sulle tue risorse. In questo modo, puoi cercare e scoprire i dati in tutta l'organizzazione e attivare la governance dei dati per gli asset di dati. Per ulteriori informazioni, consulta Aspetti.

Risorse supportate

Sensitive Data Protection può collegare automaticamente gli aspetti alle voci Dataplex per le seguenti risorse:

  • tabelle BigQuery

  • Tabelle Cloud SQL

  • Set di dati Vertex AI creati da tabelle BigQuery

Dataplex Catalog non importa i bucket Cloud Storage, pertanto questa funzionalità non è disponibile quando profili i dati di Cloud Storage.

Come funziona

Il flusso di lavoro di alto livello per la creazione automatica degli aspetti di Dataplex Catalog in base ai profili di dati è il seguente:

  1. Crea o modifica una configurazione di scansione per un tipo di risorsa supportato.

  2. Nel passaggio Aggiungi azioni, assicurati che l'azione Invia a Dataplex Catalog come aspetti sia attivata.

    Se stai creando una configurazione di scansione, questa azione è attivata per impostazione predefinita.

    Se stai modificando una configurazione di analisi, attiva questa azione.

Sensitive Data Protection aggiunge o aggiorna l'aspetto Sensitive Data Protection profile della voce Dataplex per ogni risorsa supportata che profili. Puoi quindi cercare in Dataplex Catalog tutti i dati della tua organizzazione o del tuo progetto con valori di aspetto specifici.

Quando attivi l'azione Invia a Dataplex Catalog come aspetti, Sensitive Data Protection applica questa azione solo ai profili nuovi e aggiornati. I profili esistenti che non vengono aggiornati non vengono inviati a Dataplex Catalog.

Campi di primo livello

L'aspetto risultante per una tabella profilata può avere i seguenti campi di primo livello:

Nome visualizzato Valore di esempio Descrizione
Sensitivity MODERATE Il livello di sensibilità calcolato della tabella
Risk MODERATE Il livello di rischio dei dati calcolato della tabella
InfoTypes
  • infoType: CREDIT_CARD_NUMBER
  • infoType: PHONE_NUMBER
  • infoType: US_SOCIAL_SECURITY_NUMBER
 Un elenco di tutti gli infoType trovati nella tabella, inclusi gli infoType previsti e gli altri infoType. Questo campo viene incluso se nella tabella è stato rilevato almeno un infoType.
Column InfoTypes
  • infoType: CREDIT_CARD_NUMBER
  • infoType: PHONE_NUMBER
 Un elenco di tutti gli infoType previsti trovati in tutte le colonne della tabella. Questo campo viene incluso se nella tabella è stato rilevato almeno un infoType previsto.
Project Profile Consulta Profilo progetto e profilo dell'organizzazione in questa pagina. Incluso se la risorsa è stata profilata tramite una configurazione di scansione a livello di progetto.
Organization Profile Consulta Profilo progetto e profilo dell'organizzazione in questa pagina. Incluso se la risorsa è stata profilata tramite una configurazione di scansione a livello di organizzazione o di cartella.

Se la risorsa è stata profilata sia a livello di progetto che a livello di organizzazione o di cartella, Sensitive Data Protection aggrega i valori di entrambi i profili. L'aspetto fornisce un'unione degli infoType rilevati e utilizza le classificazioni di sensibilità e rischio dei dati più elevate di entrambi i profili.

Ad esempio, supponiamo che il profilo a livello di progetto classifichi la sensibilità della risorsa come MODERATE e il profilo a livello di organizzazione come LOW. In questo caso, il valore nel campo Sensitivity di primo livello dell'aspetto è MODERATE.

Campi Profilo del progetto e Profilo dell'organizzazione

L'aspetto Sensitive Data Protection profile risultante include uno o entrambi i seguenti campi di primo livello, a seconda del livello a cui è stato eseguito il profilo della risorsa:

Project Profile
Incluso nell'aspetto se la risorsa è stata profilata tramite una configurazione di scansione a livello di progetto
Organization Profile
Incluso nell'aspetto se la risorsa è stata profilata tramite una configurazione di scansione a livello di organizzazione o cartella

Se la risorsa è stata profilata sia a livello di progetto che a livello di organizzazione o cartella, l'aspetto risultante contiene sia i campi Project Profile che Organization Profile.

Ogni campo Project Profile o Organization Profile contiene campi Sensitivity e Risk nidificati con i valori elencati nel profilo dei dati. Se nel profilo dei dati sono elencati infoType previsti e altri infoType, questi sono disponibili anche come campi Column InfoTypes e InfoTypes nidificati. Inoltre, ogni campo Project Profile o Organization Profile contiene i seguenti campi nidificati:

Profile

Il nome completo della risorsa del profilo dati. Esempi:

  • Profilo a livello di progetto: projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
  • Profilo a livello di organizzazione o cartella: organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
Profile Link

Un link al profilo nella Google Cloud console. Esempi:

  • Profilo a livello di progetto: https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
  • Profilo a livello di organizzazione o cartella: https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Abilitare l'API Dataplex

L'API Dataplex deve essere abilitata in ogni progetto che contiene risorse a cui vuoi aggiungere aspetti. Questa sezione descrive come abilitare l'API Dataplex in un singolo progetto o in tutti i progetti di un'organizzazione o di una cartella.

Abilita l'API Dataplex in un singolo progetto

  1. Seleziona il progetto in cui vuoi attivare l'API Dataplex.

    Vai al selettore dei progetti

  2. Enable the Dataplex API.

    Enable the API

Abilita l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella

Questa sezione fornisce uno script che cerca tutti i progetti in un'organizzazione o una cartella e abilita l'API Dataplex in ciascuno di questi progetti.

Per ottenere le autorizzazioni necessarie per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per attivare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella, sono necessarie le seguenti autorizzazioni:

  • Per cercare tutti i progetti in un'organizzazione o una cartella: cloudasset.assets.searchAllResources nell'organizzazione o nella cartella
  • Per abilitare l'API Dataplex: serviceusage.services.use in ogni progetto in cui vuoi abilitare l'API Dataplex

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per attivare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella, segui questi passaggi:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Esegui questo script:

    #!/bin/bash

RESOURCE_ID="RESOURCE_ID"

gcloud asset search-all-resources \
    --scope="RESOURCE_TYPE/$RESOURCE_ID" \
    --asset-types="cloudresourcemanager.googleapis.com/Project" \
    --format="value(name)" |
    while read project_name; do
      project_id=$(echo "$project_name" | sed 's|.*/||')
      gcloud services enable "dataplex.googleapis.com" --project="$project_id"
    done

    Sostituisci quanto segue:

    • RESOURCE_ID: il numero dell'organizzazione o della cartella della risorsa che contiene i progetti
    • RESOURCE_TYPE: il tipo di risorsa che contiene i progetti: organizations o folders

Ruoli e autorizzazioni per la visualizzazione degli aspetti

Per ottenere le autorizzazioni necessarie per cercare aspetti associati alle tue risorse, chiedi all'amministratore di concederti i seguenti ruoli IAM sulle risorse:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per cercare aspetti associati alle tue risorse. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per cercare gli aspetti associati alle tue risorse sono necessarie le seguenti autorizzazioni:

  • Visualizza le voci Dataplex:
    • dataplex.entries.list
    • dataplex.entries.get
  • Visualizza i set di dati e le tabelle BigQuery:
    • bigquery.datasets.get
    • bigquery.tables.get
  • Visualizza i set di dati Vertex AI: aiplatform.datasets.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per ulteriori informazioni sulle autorizzazioni richieste per utilizzare Dataplex, consulta Autorizzazioni IAM Dataplex.

Trovare l'aspetto generato per un determinato profilo di dati della tabella

  1. Nella Google Cloud console, vai alla pagina Cerca di Dataplex.

    Vai a Cerca

  2. Seleziona la tua organizzazione o il tuo progetto.

  3. Per Scegli la piattaforma di ricerca, seleziona Dataplex Catalog come modalità di ricerca.

  4. Nel campo Cerca, inserisci quanto segue:

    name:TABLE_ID

    Sostituisci TABLE_ID con l'ID della tabella di cui è stato eseguito il profiling.

  5. Nell'elenco visualizzato, fai clic sul nome della tabella. Vengono visualizzati i dettagli della tabella BigQuery. Gli eventuali aspetti Sensitive Data Protection profile associati vengono mostrati nella sezione Tag e aspetti facoltativi.

Per saperne di più su come cercare risorse, consulta Cercare risorse in Dataplex Catalog.

Esempi di query di ricerca

Questa sezione fornisce esempi di query di ricerca che puoi utilizzare in Dataplex per trovare dati nella tua organizzazione o nel tuo progetto con valori di aspetto specifici.

Puoi trovare solo i dati a cui hai accesso. L'accesso ai dati è controllato tramite le autorizzazioni IAM. Per ulteriori informazioni, consulta la sezione Ruoli e autorizzazioni per la visualizzazione degli aspetti in questa pagina.

Puoi inserire queste query di esempio nel campo Cerca della pagina Cerca di Dataplex.

Vai a Cerca

Per informazioni su come formare le query, consulta la sintassi di ricerca per Dataplex Catalog.

Trovare tutte le risorse con l'aspetto del profilo Sensitive Data Protection

aspect:sensitive-data-protection-profile

Trovare tutte le risorse con un determinato punteggio di sensibilità

aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

Sostituisci SENSITIVITY_SCORE con HIGH, MODERATE, UNKNOWN o LOW.

Per ulteriori informazioni, consulta Livelli di rischio dei dati e sensibilità.

Trovare tutte le risorse con un determinato punteggio di rischio

aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

Sostituisci DATA_RISK_LEVEL con HIGH, MODERATE, UNKNOWN o LOW.

Per ulteriori informazioni, consulta Livelli di rischio dei dati e sensibilità.

Trova tutte le risorse con un profilo a livello di progetto

aspect:sensitive-data-protection-profile.projectProfile

Trovare tutte le risorse con un profilo a livello di organizzazione

aspect:sensitive-data-protection-profile.organizationProfile