Menambahkan aspek Katalog Universal Dataplex berdasarkan insight dari profil data

Halaman ini menjelaskan cara menambahkan aspek Katalog Universal Dataplex secara otomatis ke data Anda setelah Sensitive Data Protection membuat profil resource Anda. Halaman ini juga memberikan contoh kueri yang dapat Anda gunakan untuk menemukan data di seluruh organisasi dan project dengan nilai aspek tertentu.

Fitur ini berguna jika Anda ingin memperkaya metadata di Dataplex Universal Catalog dengan insight yang dikumpulkan dari profil data Sensitive Data Protection. Aspek yang dihasilkan mencakup insight berikut:

  • Tingkat sensitivitas yang dihitung dari tabel atau set data
  • Tingkat risiko data terhitung dari tabel atau set data
  • Jenis informasi (infoTypes) yang terdeteksi dalam tabel atau set data

Insight dari profil data Sensitive Data Protection dapat membantu Anda menggunakan Dataplex Universal Catalog untuk menemukan data sensitif dan berisiko tinggi di organisasi Anda. Gunakan insight ini untuk membantu Anda membuat keputusan yang tepat tentang cara mengelola dan mengatur data Anda.

Tentang profil data

Anda dapat mengonfigurasi Perlindungan Data Sensitif untuk otomatis membuat profil tentang data di seluruh organisasi, folder, atau project. Profil data berisi metrik dan metadata tentang data Anda serta membantu Anda menentukan lokasi data sensitif dan berisiko tinggi. Sensitive Data Protection melaporkan metrik ini pada berbagai tingkat detail.

Anda dapat mengirimkan profil data ke layanan Google Cloud lain seperti Dataplex Universal Catalog, Pub/Sub, Security Command Center, dan Google Security Operations untuk meningkatkan tata kelola data, alur kerja pemberitahuan, dan keamanan Anda.

Tentang Katalog Universal Dataplex

Dataplex Universal Catalog menyediakan inventaris terpadu untuk Google Cloud resource.

Katalog Universal Dataplex memungkinkan Anda menggunakan aspek untuk menambahkan metadata bisnis dan teknis ke data Anda guna mendapatkan konteks dan pengetahuan tentang resource Anda. Kemudian, Anda dapat menelusuri dan menemukan data di seluruh organisasi serta mengaktifkan tata kelola data atas aset data Anda. Untuk mengetahui informasi selengkapnya, lihat Aspek.

Resource yang didukung

Perlindungan Data Sensitif dapat otomatis melampirkan aspek ke entri Katalog Universal Dataplex untuk resource berikut:

  • Tabel BigQuery

  • Tabel Cloud SQL

  • Set data Vertex AI yang dibuat dari tabel BigQuery

Dataplex Universal Catalog tidak menyerap bucket Cloud Storage, sehingga fitur ini tidak tersedia saat Anda membuat profil data Cloud Storage.

Cara kerjanya

Alur kerja tingkat tinggi untuk membuat aspek Katalog Universal Dataplex secara otomatis berdasarkan profil data adalah sebagai berikut:

  1. Buat atau edit konfigurasi pemindaian untuk jenis resource yang didukung.

  2. Pada langkah Tambahkan tindakan, pastikan tindakan Kirim ke Dataplex Catalog sebagai aspek diaktifkan.

    Jika Anda membuat konfigurasi pemindaian, tindakan ini diaktifkan secara default.

    Jika Anda mengedit konfigurasi pemindaian, aktifkan tindakan ini.

Sensitive Data Protection menambahkan atau memperbarui aspek Sensitive Data Protection profile entri Dataplex Universal Catalog untuk setiap resource yang didukung yang Anda buat profilnya. Kemudian, Anda dapat menelusuri Dataplex Universal Catalog untuk menemukan semua data di organisasi atau project Anda dengan nilai aspek tertentu.

Jika Anda mengaktifkan tindakan Kirim ke Dataplex Catalog sebagai aspek, Sensitive Data Protection hanya menerapkan tindakan ini ke profil baru dan yang diperbarui. Profil yang ada dan tidak diupdate tidak akan dikirim ke Dataplex Universal Catalog.

Kolom tingkat teratas

Aspek yang dihasilkan untuk tabel yang diprofilkan dapat memiliki kolom tingkat teratas berikut:

Nama tampilan Nilai contoh Deskripsi
Sensitivity MODERATE Tingkat sensitivitas yang dihitung tabel
Risk MODERATE Tingkat risiko data yang dihitung tabel
InfoTypes
  • infoType: CREDIT_CARD_NUMBER
  • infoType: PHONE_NUMBER
  • infoType: US_SOCIAL_SECURITY_NUMBER
 Daftar semua infoType yang ditemukan dalam tabel, termasuk infoType yang diprediksidan infoType lainnya. Kolom ini disertakan jika setidaknya satu infoType terdeteksi dalam tabel.
Column InfoTypes
  • infoType: CREDIT_CARD_NUMBER
  • infoType: PHONE_NUMBER
 Daftar semua infoType yang diprediksi yang ditemukan di semua kolom tabel. Kolom ini disertakan jika setidaknya satu infoType yang diprediksi terdeteksi dalam tabel.
Project Profile Lihat Profil Project dan Profil Organisasi di halaman ini. Disertakan jika resource diprofilkan melalui konfigurasi pemindaian tingkat project.
Organization Profile Lihat Profil Project dan Profil Organisasi di halaman ini. Disertakan jika resource diprofilkan melalui konfigurasi pemindaian tingkat organisasi atau tingkat folder.

Jika resource diprofilkan di tingkat project dan tingkat organisasi atau folder, maka Perlindungan Data Sensitif akan menggabungkan nilai kedua profil. Aspek ini memberikan gabungan infoType yang terdeteksi dan menggunakan rating sensitivitas dan risiko data tertinggi dari kedua profil.

Misalnya, anggaplah profil tingkat project menilai sensitivitas resource sebagai MODERATE dan profil tingkat organisasi menilai sensitivitas sebagai LOW. Dalam hal ini, nilai di kolom Sensitivity tingkat teratas dari aspek adalah MODERATE.

Kolom Profil Project dan Profil Organisasi

Aspek Sensitive Data Protection profile yang dihasilkan mencakup satu atau kedua kolom tingkat teratas berikut, bergantung pada tingkat tempat resource diprofilkan:

Project Profile
Disertakan dalam aspek jika resource diprofilkan melalui konfigurasi pemindaian tingkat project
Organization Profile
Disertakan dalam aspek jika resource diprofilkan melalui konfigurasi pemindaian tingkat organisasi atau tingkat folder

Jika resource diprofilkan di tingkat project dan tingkat organisasi atau folder, maka aspek yang dihasilkan memiliki kolom Project Profile dan Organization Profile.

Setiap kolom Project Profile atau Organization Profile berisi kolom Sensitivity dan Risk bertingkat dengan nilai yang tercantum dalam profil data. Jika profil data memiliki infoType yang diprediksi dan infoType lain yang tercantum, maka infoType tersebut juga tersedia sebagai kolom Column InfoTypes dan InfoTypes bertingkat. Selain itu, setiap kolom Project Profile atau Organization Profile berisi kolom bertingkat berikut:

Profile

Nama lengkap resource profil data. Contoh:

  • Profil tingkat project: projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
  • Profil tingkat organisasi atau tingkat folder: organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
Profile Link

Link ke profil di konsol Google Cloud . Contoh:

  • Profil tingkat project: https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
  • Profil tingkat organisasi atau tingkat folder: https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID

Mengaktifkan Dataplex API

Dataplex API harus diaktifkan di setiap project yang berisi resource yang ingin Anda tambahi aspek. Bagian ini menjelaskan cara mengaktifkan Dataplex API dalam satu project atau di semua project dalam organisasi atau folder.

Mengaktifkan Dataplex API dalam satu project

  1. Pilih project tempat Anda ingin mengaktifkan Dataplex API.

    Buka pemilih project

  2. Enable the Dataplex API.

    Enable the API

Mengaktifkan Dataplex API di semua project dalam organisasi atau folder

Bagian ini menyediakan skrip yang menelusuri semua project dalam organisasi atau folder dan mengaktifkan Dataplex API di setiap project tersebut.

Untuk mendapatkan izin yang Anda perlukan guna mengaktifkan Dataplex API di semua project dalam organisasi atau folder, minta administrator Anda untuk memberikan peran IAM berikut:

  • Cloud Asset Viewer (roles/cloudasset.viewer) di organisasi atau folder
  • Pengguna DLP (roles/dlp.user) di setiap project tempat Anda ingin mengaktifkan Dataplex API

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengaktifkan Dataplex API di semua project dalam organisasi atau folder. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengaktifkan Dataplex API di semua project dalam organisasi atau folder:

  • Untuk menelusuri semua project dalam organisasi atau folder: cloudasset.assets.searchAllResources di organisasi atau folder
  • Untuk mengaktifkan Dataplex API: serviceusage.services.use di setiap project tempat Anda ingin mengaktifkan Dataplex API

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Untuk mengaktifkan Dataplex API di semua project dalam organisasi atau folder, ikuti langkah-langkah berikut:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Jalankan skrip berikut:

    #!/bin/bash

RESOURCE_ID="RESOURCE_ID"

gcloud asset search-all-resources \
    --scope="RESOURCE_TYPE/$RESOURCE_ID" \
    --asset-types="cloudresourcemanager.googleapis.com/Project" \
    --format="value(name)" |
    while read project_name; do
      project_id=$(echo "$project_name" | sed 's|.*/||')
      gcloud services enable "dataplex.googleapis.com" --project="$project_id"
    done

    Ganti kode berikut:

    • RESOURCE_ID: nomor organisasi atau nomor folder resource yang berisi project
    • RESOURCE_TYPE: jenis resource yang berisi project—organizations atau folders

    3. Peran dan izin untuk melihat aspek

    Untuk mendapatkan izin yang Anda perlukan untuk menelusuri aspek yang terkait dengan resource Anda, minta administrator Anda untuk memberi Anda peran IAM berikut pada resource:

    Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Peran bawaan ini berisi izin yang diperlukan untuk menelusuri aspek yang terkait dengan resource Anda. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

    Izin yang diperlukan

    Izin berikut diperlukan untuk menelusuri aspek yang terkait dengan resource Anda:

    • Melihat entri Dataplex Universal Catalog:
      • dataplex.entries.list
      • dataplex.entries.get
    • Melihat set data dan tabel BigQuery:
      • bigquery.datasets.get
      • bigquery.tables.get
    • Melihat set data Vertex AI: aiplatform.datasets.get

    Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

    Untuk mengetahui informasi selengkapnya tentang izin yang diperlukan untuk menggunakan Dataplex Universal Catalog, lihat Izin IAM Dataplex Universal Catalog.

    Menemukan aspek yang dihasilkan untuk profil data tabel tertentu

    1. Di konsol Google Cloud , buka halaman Penelusuran Dataplex Universal Catalog.

      Buka Penelusuran

    2. Pilih organisasi atau project Anda.

    3. Untuk Pilih platform penelusuran, pilih Dataplex Catalog sebagai mode penelusuran.

    4. Di kolom Penelusuran, masukkan berikut ini:

      name:TABLE_ID

      Ganti TABLE_ID dengan ID tabel yang diprofilkan.

    5. Pada daftar yang muncul, klik nama tabel. Detail tabel BigQuery akan muncul. Setiap aspek Sensitive Data Protection profile yang terkait dengannya ditampilkan di bagian Tag & aspek opsional.

    Untuk mengetahui informasi selengkapnya tentang cara menelusuri resource, lihat Menelusuri resource di Dataplex Universal Catalog.

    Contoh kueri penelusuran

    Bagian ini memberikan contoh kueri penelusuran yang dapat Anda gunakan di Dataplex Universal Catalog untuk menemukan data di organisasi atau project Anda dengan nilai aspek tertentu.

    Anda hanya dapat menemukan data yang aksesnya Anda miliki. Akses data dikontrol melalui izin IAM. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin untuk melihat aspek di halaman ini.

    Anda dapat memasukkan contoh kueri ini di kolom Penelusuran di halaman Penelusuran Dataplex Universal Catalog.

    Buka Penelusuran

    Untuk mengetahui informasi tentang cara membuat kueri, lihat Sintaksis penelusuran untuk Katalog Universal Dataplex.

    Temukan semua resource yang memiliki aspek profil Sensitive Data Protection

    aspect:sensitive-data-protection-profile

    Menemukan semua resource dengan skor sensitivitas tertentu

    aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE

    Ganti SENSITIVITY_SCORE dengan HIGH, MODERATE, UNKNOWN, atau LOW.

    Untuk mengetahui informasi selengkapnya, lihat Tingkat sensitivitas dan risiko data.

    Menemukan semua resource dengan skor risiko tertentu

    aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL

    Ganti DATA_RISK_LEVEL dengan HIGH, MODERATE, UNKNOWN, atau LOW.

    Untuk mengetahui informasi selengkapnya, lihat Tingkat sensitivitas dan risiko data.

    Menemukan semua resource yang memiliki profil tingkat project

    aspect:sensitive-data-protection-profile.projectProfile

    Menemukan semua resource yang memiliki profil tingkat organisasi

    aspect:sensitive-data-protection-profile.organizationProfile