Este documento descreve as ações que a Proteção de Dados Sensíveis pode realizar depois de executar um job de inspeção ou uma análise de risco.
Uma ação é uma tarefa que a Proteção de Dados Sensíveis realiza após concluir um job de inspeção ou uma análise de risco. Por exemplo, é possível salvar as descobertas em uma tabela do BigQuery, publicar uma notificação em um tópico do Pub/Sub ou enviar um e-mail quando uma operação for concluída com sucesso ou interrompida em caso de erro.
As operações de descoberta de dados sensíveis têm um conjunto diferente de ações. Para mais informações sobre as ações de descoberta, consulte Ativar ações de descoberta.
Ações disponíveis
Quando você executa um job da proteção de dados sensíveis, um resumo das descobertas é salvo por
padrão na proteção de dados sensíveis. É possível ver esse resumo usando a
Proteção de dados sensíveis no console do Google Cloud . Você
também pode recuperar informações de resumo na API DLP usando o método
projects.dlpJobs.get.
As seções a seguir descrevem as ações disponíveis para jobs de inspeção e análise de risco.
Salvar descobertas no BigQuery
Salve os resultados do job da Proteção de dados confidenciais em uma tabela do BigQuery. Antes de ver ou analisar os resultados, verifique se o job foi concluído.
Sempre que uma verificação é executada, a Proteção de dados confidenciais salva as descobertas na tabela do BigQuery especificada. As descobertas exportadas contêm detalhes sobre o local de cada uma e comparam a probabilidade.
Se quiser que cada descoberta inclua a string que correspondeu ao detector de infoType, ative a opção Incluir citação. As citações são potencialmente sensíveis e, por padrão, a Proteção de Dados Sensíveis não as inclui nas descobertas.
Se você não especificar um ID de tabela,
o BigQuery atribuirá um nome padrão a uma nova tabela na primeira vez
que a verificação for executada. O nome é semelhante a
dlpgoogleapisDATE_1234567890, em que
DATE representa a data em que a verificação é executada. Se você especificar
uma tabela atual, a Proteção de dados sensíveis vai anexar as descobertas da verificação a ela.
Quando os dados são gravados em uma tabela do BigQuery, o uso do faturamento e da cota é aplicado ao projeto que contém a tabela de destino.
Salvar descobertas no Cloud Storage
Salve os resultados do job da Proteção de Dados Sensíveis em um bucket ou pasta do Cloud Storage. Antes de ver ou analisar os resultados, verifique se o job foi concluído.
Se você estiver inspecionando um bucket do Cloud Storage, o bucket designado para descobertas exportadas não pode ser o mesmo que está sendo inspecionado.
Sempre que uma verificação é executada, a proteção de dados sensíveis salva as descobertas no local do Cloud Storage especificado. As descobertas exportadas contêm detalhes sobre o local de cada uma e comparam a probabilidade.
Se quiser que cada descoberta inclua a string que correspondeu ao detector de infoType, ative a opção Incluir citação. As citações são potencialmente sensíveis e, por padrão, a Proteção de Dados Sensíveis não as inclui nas descobertas.
As descobertas são exportadas no formato de texto Protobuf como um objeto
SaveToGcsFindingsOutput. Para informações sobre como analisar descobertas nesse formato, consulte Analisar descobertas armazenadas como texto Protobuf.
Publicar no Pub/Sub
Publique uma notificação que contenha o nome do job da Proteção de dados sensíveis como um atributo para um canal Pub/Sub. Você pode especificar um ou mais tópicos para enviar a mensagem de notificação. Verifique se a conta de serviço da Proteção de Dados Sensíveis que executa o job de verificação tem acesso de publicação no tópico.
Se houver problemas de configuração ou permissão com o tópico do Pub/Sub, a Proteção de dados sensíveis vai tentar enviar a notificação do Pub/Sub por até duas semanas. Após duas semanas, a notificação é descartada.
Publicar no Security Command Center
Publicar um resumo dos resultados do job no Security Command Center. Para mais informações, consulte Enviar resultados da verificação da Proteção de dados sensíveis para o Security Command Center.
Para usar essa ação, seu projeto precisa pertencer a uma organização, e o Security Command Center precisa estar ativado no nível da organização. Caso contrário, as descobertas da Proteção de dados sensíveis não vão aparecer no Security Command Center. Para mais informações, consulte Verificar o nível de ativação do Security Command Center.
Publicar no Catálogo de dados
Envie os resultados do job para o Data Catalog. Esse recurso está descontinuado.
Notificar por e-mail
Enviar um e-mail quando o job for concluído. O e-mail é enviado para proprietários de projetos do IAM e contatos técnicos essenciais .
Publicar no Cloud Monitoring
Envie os resultados da inspeção para o Cloud Monitoring no Google Cloud Observability.
Fazer uma cópia desidentificada
Desidentifique as descobertas nos dados inspecionados e grave o conteúdo desidentificado em um novo arquivo. Em seguida, use a cópia sem identificação nos seus processos comerciais, em vez de dados que contenham informações sensíveis. Para mais informações, consulte Criar uma cópia desidentificada dos dados do Cloud Storage usando a Proteção de Dados Sensíveis no consoleGoogle Cloud .
Operações suportadas
A tabela a seguir mostra as operações da Proteção de dados sensíveis e onde cada ação está disponível.
| Ação | Inspeção do BigQuery | Inspeção do Cloud Storage | Inspeção do Datastore | Inspeção híbrida | Análise de risco |
|---|---|---|---|---|---|
| Salvar descobertas no BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| Salvar descobertas no Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| Publicar no Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar no Security Command Center | ✓ | ✓ | ✓ | ||
| Publicar no Data Catalog (descontinuado) | ✓ | ||||
| Notificar por e-mail | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar no Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| Desidentificar descobertas | ✓ |
Especificar ações
É possível especificar uma ou mais ações ao configurar um job:
- Ao criar um novo job de análise de inspeção ou risco usando a Proteção de dados sensíveis no console Google Cloud , especifique ações na seção Adicionar ações do fluxo de trabalho de criação de jobs.
- Ao configurar uma nova solicitação de job para enviar à API DLP,
especifique ações no
objeto
Action.
Para mais informações e códigos de amostra em várias linguagens, acesse o conteúdo a seguir:
- Como criar e agendar jobs de inspeção
- Como calcular k-anonimato de um conjunto de dados
- Como calcular l-diversidade de um conjunto de dados
Exemplo de cenário de ação
Use as ações da Proteção de dados sensíveis para automatizar processos com base nos resultados da verificação da Proteção de dados sensíveis. Suponha que você tenha uma tabela do BigQuery compartilhada com um parceiro externo. Você quer garantir que essa tabela
não contenha nenhum identificador confidencial, como números de seguro social dos EUA
(o
InfoType US_SOCIAL_SECURITY_NUMBER),
e que se você encontrar alguma, o acesso ao parceiro seja revogado. Veja a seguir um resumo
de um fluxo de trabalho que usa ações:
- Crie um gatilho de job da Proteção de dados confidenciais para executar uma verificação de inspeção da tabela do BigQuery a cada 24 horas.
- Defina a ação desses jobs para publicar uma notificação do Pub/Sub no tópico "projects/foo/scan_notifications".
- Crie uma função do Cloud Functions que detecte as mensagens recebidas em "projects/foo/scan_notifications". Essa Função do Cloud vai receber o nome do job de proteção de dados sensíveis a cada 24 horas, chamar a proteção de dados sensíveis para receber os resultados resumidos desse job e, se encontrar números de previdência social, poderá mudar as configurações no BigQuery ou no Identity and Access Management (IAM) para restringir o acesso à tabela.
A seguir
- Saiba mais sobre as ações disponíveis com jobs de inspeção.
- Saiba mais sobre as ações disponíveis com jobs de análise de risco.
- Saiba mais sobre as ações disponíveis com operações de descoberta de dados sensíveis.