GSP1282

Présentation

Sensitive Data Protection est un service entièrement géré conçu pour vous aider à découvrir, classer et protéger les informations sensibles. Les principales options incluent la découverte des données sensibles pour détecter en continu ce type de données, l'anonymisation de ces données, y compris le masquage, et l'API Cloud Data Loss Prevention (DLP) pour intégrer la détection, l'inspection et l'anonymisation dans des charges de travail et des applications personnalisées.

Vous pouvez protéger les données sensibles dans BigQuery en utilisant Sensitive Data Protection et Identity and IAM (Access Management) dans Google Cloud pour taguer automatiquement les données sensibles lors des analyses de découverte et accorder un accès conditionnel aux données BigQuery aux utilisateurs de votre entreprise.

Dans cet atelier, vous commencerez par créer une configuration d'analyse de découverte pour BigQuery en mode suspendu. Ensuite, vous créerez un tag pour signaler les données sensibles dans BigQuery et mettrez à jour la configuration de l'analyse de découverte afin qu'elle utilise automatiquement ce tag pour la détection. Enfin, vous allez utiliser le tag créé pour accorder un accès conditionnel aux données BigQuery à d'autres utilisateurs.

Points abordés

Dans cet atelier, vous allez apprendre à :

• Créer une configuration d'analyse de découverte pour BigQuery en mode suspendu
• Créer des tags et attribuer des rôles pour que les données soient automatiquement taguées lors de l'analyse de découverte
• Mettre à jour l'analyse de découverte suspendue pour utiliser les tags créés, puis relancer l'analyse
• Accorder un accès conditionnel aux données BigQuery à l'aide de tags

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).

• Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

   • Le bouton "Ouvrir la console Google Cloud"
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche.

Tâche 1 : Créer une configuration d'analyse de détection pour BigQuery en mode suspendu

Le service de découverte de Sensitive Data Protection vous permet d'identifier où se trouvent les données sensibles et à haut risque au sein de votre entreprise. Lorsque vous créez une configuration d'analyse de découverte, Sensitive Data Protection analyse les ressources que vous sélectionnez et génère des profils de données. Il s'agit d'un ensemble d'informations sur les infoTypes (types de données sensibles) identifiés et de métadonnées sur le risque et le niveau de sensibilité des données.

Dans cette tâche, vous allez créer une analyse de découverte pour profiler automatiquement les données dans BigQuery. La génération des résultats complets de la découverte pouvant prendre un certain temps, vous trouverez dans la dernière tâche de cet atelier des points clés et des résumés des principaux résultats.

1. Dans la console Google Cloud, cliquez sur le menu de navigation () > BigQuery.

2. Sous Protection des données, cliquez sur Sensitive Data Protection.

3. Cliquez sur l'onglet Découverte.

4. Sous BigQuery, cliquez sur Activer.

5. Pour Sélectionner un type de découverte, laissez l'option BigQuery activée et cliquez sur Continuer.

6. Pour Sélectionner un niveau d'accès, laissez l'option Analyser le projet sélectionné activée et cliquez sur Continuer.

7. Pour Planifications gérées, conservez la valeur par défaut et cliquez sur Continuer.

   Dans cet atelier, vous allez planifier l'exécution de l'analyse de détection immédiatement après sa création. Cependant, de nombreuses options permettent de programmer les analyses à exécuter de façon périodique (par exemple, quotidiennement ou hebdomadairement) ou après certains événements (par exemple, lorsqu'un modèle d'inspection est mis à jour).

8. Pour Sélectionner un modèle d'inspection, laissez l'option Créer un nouveau modèle d'inspection activée.

9. Conservez les autres valeurs par défaut, puis cliquez sur Continuer.

   Par défaut, le nouveau modèle d'inspection inclut tous les infoTypes existants.

   Pour le seuil de confiance, la probabilité minimale par défaut est Possible. Cela signifie que vous n'obtenez que les résultats évalués comme Possible, Probable et Très probable.

   Dans une tâche ultérieure, vous modifierez ce modèle d’inspection pour explorer d’autres options concernant les infoTypes et le seuil de confiance.

10. Pour Ajouter des actions, activez Publier dans Security Command Center.

11. Pour Ajouter des actions, activez également l'option Enregistrer des copies des profils de données dans BigQuery et indiquez l'ensemble de données et la table (qui ont été créés au préalable dans cet atelier) pour enregistrer les résultats dans BigQuery.

Notez le message sous l'action Taguer les ressources : il indique que l’agent de service doit avoir un rôle précis pour que le taggage automatique puisse se faire.

Dans la tâche suivante, vous allez créer les tags et attribuer le rôle nécessaire au compte de service pour permettre le taggage automatisé lors de l'analyse de découverte.

12. Conservez les autres valeurs par défaut, puis cliquez sur Continuer.

13. Pour Définir l'emplacement de stockage de la configuration, laissez l'option activée pour États-Unis (plusieurs régions aux États-Unis), puis cliquez sur Continuer.

14. Indiquez un nom à afficher pour cette configuration : Découverte BigQuery

15. Activez l'option Créer une analyse en mode suspendu.

Cette commande crée la configuration d'analyse de découverte, mais sans lancer l'analyse. Vous pouvez ainsi créer les tags et attribuer le rôle IAM approprié à l'ID de l'agent de service pour l'analyse.

16. Cliquez sur Créer, puis confirmez la création en cliquant sur Créer une configuration.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer une configuration d'analyse de détection pour BigQuery

Tâche 2 : Créer des tags et attribuer un rôle pour que les données soient automatiquement taguées lors de l'analyse de découverte

Dans IAM, vous pouvez créer un tag de niveau de sensibilité pour taguer automatiquement les ressources lors des analyses de découverte et pour accorder ou refuser l'accès à des ressources associées à ce tag.

Dans cette tâche, vous allez créer un tag de niveau de sensibilité dans IAM avec quatre valeurs représentant différents niveaux de sensibilité : faible, modéré, élevé et inconnu.

Créer un tag de niveau de sensibilité dans IAM

1. Dans la console Google Cloud, accédez au menu de navigation () > IAM et administration > Tags.

2. Cliquez sur + Créer.

3. Dans le champ Clé de tag, saisissez un nom à afficher pour votre tag : niveau-sensibilité.

4. Dans le champ Description du tag, saisissez une description pour ce tag : Tag de niveau de sensibilité : faible, modéré, élevé et inconnu.

5. Cliquez sur + Ajouter une valeur.

6. Pour Valeur de tag, saisissez un nom à afficher pour votre première valeur de tag : faible.

7. Dans le champ Description de la valeur de tag, saisissez une description pour cette valeur de tag : Valeur du tag à attribuer aux données peu sensibles.

8. Répétez les étapes 5 à 7 pour créer les trois autres valeurs de tag :

9. Cliquez sur Créer une clé de tag.

La création de la clé de tag peut prendre une minute.

10. Une fois la clé de tag créée, cliquez sur son nom pour afficher les détails.

Notez que la clé de tag a un chemin de clé de tag (/niveau-sensibilité) et les valeurs de tag suivantes : élevé, faible, modéré, inconnu

En combinant le chemin de la clé de tag avec la valeur du tag, vous obtenez le chemin d'accès de la valeur de tag, que vous utiliserez dans la tâche suivante. Exemple :

• /niveau-sensibilité/élevé

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer un tag de niveau de sensibilité dans IAM

Attribuer un rôle au compte de service pour l'analyse de découverte à l'aide d'IAM

Pour pouvoir ajouter automatiquement un tag aux ressources, l'agent de service doit disposer du rôle resourcemanager.tagUser. Dans cette section, vous allez suivre les étapes décrites dans la documentation Contrôler l'accès IAM en fonction de la sensibilité des données pour attribuer ce rôle.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

Cliquez sur Continuer si vous y êtes invité.

2. Exécutez la commande suivante pour créer une variable correspondant au numéro de votre projet actuel :

Cliquez sur Autoriser si vous y êtes invité.

3. Exécutez la commande suivante pour attribuer le rôle Utilisateur de tags au compte de service pour l'analyse de découverte :

Cliquez sur Vérifier ma progression pour valider l'objectif. Attribuer un rôle au compte de service pour l'analyse de découverte à l'aide d'IAM

Tâche 3 : Mettre à jour l'analyse de découverte suspendue avec l'ajout automatique de tags puis relancer l'analyse

Maintenant que vous avez attribué au compte de service le rôle approprié pour le taggage automatique, vous pouvez activer l'option Taguer les ressources dans l'analyse de découverte.

Ajouter des valeurs de tag et lancer l'analyse de découverte

1. Revenez à la page de présentation de Sensitive Data Protection.

2. Sous l'onglet Découverte > Configurations d'analyse, recherchez la ligne nommée Découverte BigQuery. Cliquez sur Afficher les actions (icône à trois points verticaux) pour cette ligne, puis sélectionnez Modifier.

3. Sous Ajouter des actions, activez Taguer des ressources et les options associées suivantes :

4. Activez également les deux options suivantes :

   • Lorsqu'un tag est appliqué à une ressource, réduire le risque des données de son profil à FAIBLE.
   • Taguer une ressource lorsqu'elle est profilée pour la première fois.

5. Cliquez sur Enregistrer, puis sur Confirmer la modification.

6. Enfin, cliquez sur Reprendre l'analyse pour lancer l'analyse de découverte.

Cliquez sur Vérifier ma progression pour valider l'objectif. Mettre à jour l'analyse de découverte suspendue avec l'ajout automatique de tags puis relancer l'analyse

Ce que les résultats de la découverte peuvent vous révéler sur vos données

Pour les données BigQuery incluses dans cet environnement d'atelier, les résultats ont signalé la présence potentielle de plusieurs types d'informations sensibles, y compris des numéros de sécurité sociale américains, qui sont des données très sensibles.

Image 1. Découverte pour BigQuery activée dans l'UI

Trois profils ont été identifiés pour BigQuery : deux avec une sensibilité faible (un ensemble de données pour les résultats de la découverte et un ensemble de données pour les métadonnées des images de voitures endommagées) et un avec une sensibilité élevée (ensemble de données contenant des informations sur les acheteurs de voitures).

Image 2. Détails de l'inventaire des données sensibles

Cette section des résultats indique l'emplacement des trois profils de données. Dans cet exemple, ils se trouvent dans la région us-central1.

Image 3. Profils BigQuery avec infoTypes

Les résultats de la découverte fournissent également les infoTypes clés identifiés dans BigQuery : numéro de sécurité sociale américain, adresse e-mail, nom, etc.

Image 4. Onglet Profils des résultats de la découverte

L'onglet Profils identifie les niveaux de sensibilité et de risque pour chaque nom d'ensemble de données BigQuery : un bucket à faible sensibilité (bucket vide destiné à recevoir les résultats des tâches) et un bucket à sensibilité élevée (bucket contenant des données brutes, y compris des numéros de sécurité sociale).

Dans cet environnement d'atelier, veillez à sélectionner Région > comme Type d'emplacement pour afficher les profils.

Tâche 4 : Explorer l'accès conditionnel pour BigQuery à l'aide de tags

Avec IAM, vous pouvez attribuer un rôle à un utilisateur en fonction d'un tag de niveau de sensibilité associé à une ressource spécifique, grâce aux liaisons de rôles conditionnelles. Par exemple, vous pouvez restreindre l’accès d’un utilisateur uniquement aux données BigQuery avec le tag de valeur faible sensibilité. L’utilisateur n’aura accès qu’aux données BigQuery avec ce tag et ne pourra pas accéder aux autres données, y compris les données BigQuery sans tag.

Dans cette tâche, vous allez commencer par examiner les accès BigQuery qui ont déjà été accordés au compte Username 2 dans cet environnement d'atelier. Vous allez ensuite mettre à jour l’accès du compte Username 2 pour qu’il soit conditionné par le tag de niveau de sensibilité faible et attribuer manuellement ce tag à l'un des ensembles de données BigQuery. Enfin, vous allez tester l'accès BigQuery mis à jour pour le compte Username 2 afin de vérifier l'accès conditionnel.

Tester l'accès actuel à BigQuery pour le compte Username 2

Commencez par vous connecter au projet Google Cloud avec le compte Username 2 (). Développez l'astuce ci-dessous pour obtenir de l'aide sur le changement d'utilisateur.

Solution complète (développez pour voir toutes les étapes)

En tant qu'utilisateur 2, procédez comme suit pour vérifier les droits d’accès BigQuery déjà accordés.

1. Dans la console Google Cloud, cliquez sur le menu de navigation () > BigQuery.

2. Dans le panneau Explorateur, cliquez sur la flèche à côté de l'ID du projet () pour afficher la liste des ensembles de données BigQuery.

   Vous pouvez voir qu'il existe quatre ensembles de données BigQuery :

   • bq_discovery : contient les profils générés par l'analyse de découverte
   • bq_inspection : contient les résultats générés par l'inspection
   • car_buyers : contient des données sensibles sur les acheteurs de voitures, comme des numéros de sécurité sociale américains
   • damaged_car_image_info : contient des données non sensibles sur les voitures endommagées

Mettre à jour les rôles IAM pour le compte Username 2

Commencez par vous reconnecter au projet Google Cloud avec le compte Username 1 (). Développez l'astuce ci-dessous pour obtenir de l'aide sur le changement d'utilisateur.

Solution complète (développez pour voir toutes les étapes)

1. Dans la console Google Cloud, accédez au menu de navigation () > IAM et administration > IAM.

2. Recherchez la ligne du compte Username 2 () puis cliquez sur Modifier le compte principal (icône en forme de crayon).

3. Recherchez la ligne correspondant au rôle Lecteur puis cliquez sur Supprimer le rôle (icône en forme de corbeille).

4. Cliquez sur Ajouter un autre rôle.

5. Dans le champ Sélectionner un rôle, sélectionnez De base > Navigateur.

6. Localisez la ligne correspondant au rôle Lecteur de données BigQuery puis cliquez sur Ajouter une condition IAM.

7. Dans Titre, saisissez : Accès aux données de niveau de sensibilité faible uniquement.

8. Sous Générateur de conditions, sélectionnez Tag pour Type de condition 1 puis comporte une valeur pour Opérateur.

9. Pour Chemin d'accès de la valeur, indiquez la valeur du tag pour les ressources de faible sensibilité que vous avez utilisée dans la tâche 3.

Développez l'astuce pour voir la valeur du tag si vous avez besoin d'un rappel.

10. Cliquez sur Enregistrer puis à nouveau sur Enregistrer.

Ajouter un tag de sensibilité faible à l'ensemble de données BigQuery

Pour cette section, restez connecté avec le compte Username 1 ().

Rappelez-vous que l'analyse de découverte complète prend du temps. Par conséquent, aucun ensemble de données BigQuery n'a encore été tagué avec les niveaux de sensibilité.

Pour tester l'accès conditionnel, vous allez attribuer manuellement le tag de niveau de sensibilité faible à l'ensemble de données BigQuery nommé damaged_car_image_info, qui ne contient pas de données sensibles.

1. Dans la console Google Cloud, cliquez sur le menu de navigation () > BigQuery.

2. Dans le panneau Explorateur, cliquez sur la flèche à côté de l'ID du projet () pour afficher la liste des ensembles de données BigQuery.

3. Cliquez sur damaged_car_image_info pour ouvrir l'onglet d'informations sur l'ensemble de données, puis sur Modifier les informations (icône en forme de crayon).

4. Sous Tags, cliquez sur Sélectionner un niveau d'accès > Sélectionner le projet actuel.

5. Sélectionnez les informations suivantes.

6. Cliquez sur Enregistrer.

Tester l'accès conditionnel à BigQuery pour le compte Username 2

Pour cette section, connectez-vous une dernière fois au projet Google Cloud avec le compte Username 2 (). Développez l'astuce ci-dessous pour obtenir de l'aide pour changer d'utilisateur.

Solution complète (développez pour voir toutes les étapes)

Avec le compte Username 2, procédez comme suit pour vérifier les droits d’accès BigQuery déjà accordés.

1. Retournez dans BigQuery en accédant au menu de navigation (), puis en cliquant sur BigQuery.

2. Dans le panneau de l'explorateur de données, cliquez sur la flèche à côté de l'ID du projet () pour afficher la liste des ensembles de données BigQuery.

   Une fois le rôle IAM mis à jour avec la condition appropriée, un seul ensemble de données BigQuery apparaît, car c’est le seul à posséder le tag de faible sensibilité :

   • damaged_car_image_info

3. Déconnectez le compte Username 2 du projet.

Cliquez sur Vérifier ma progression pour valider l'objectif. Explorer l'accès conditionnel pour BigQuery à l'aide de tags

Tâche 5 : Examiner les premiers résultats de la découverte

Pour cette section, commencez par vous reconnecter au projet Google Cloud avec le compte Username 1 ().

Développez l'astuce ci-dessous pour obtenir de l'aide sur le changement d'utilisateur.

Solution complète (développez pour voir toutes les étapes)

Afficher un résumé des résultats dans un tableau de bord Looker

1. Revenez à la page de présentation de Sensitive Data Protection.

2. Sous l'onglet Découverte > Configurations d'analyse, recherchez la ligne nommée Découverte BigQuery. Sous Looker Studio, cliquez sur Looker pour cette ligne.

3. Pour Demande d'autorisation, cliquez sur Autoriser.

4. Dans la boîte de dialogue Sélectionnez un compte dans qwiklabs.net, sélectionnez .

5. Passez en revue la présentation du résumé.

   Notez que des vignettes de données résument des informations clés telles que le risque lié aux données, leur sensibilité et les types d'assets.

6. Cliquez sur Exploration avancée (détails de l'asset).

7. Repérez la ligne dont l'infoType est US_SOCIAL_SECURITY_NUMBER. Sous Action, cliquez sur Ouvrir pour cette ligne.

Consultez les résultats détaillés dans Sensitive Data Protection

1. Examinez la page qui s'ouvre et dont le titre est Découverte des données sensibles : détails du profil du magasin de fichiers.

   Notez que de nombreux détails sont fournis sur les ressources analysées, y compris les autorisations IAM.

2. Cliquez sur la flèche à côté de Afficher les autorisations IAM détaillées.

3. Cliquez sur la flèche à côté de Lecteur BigQuery.

Notez qu'un autre utilisateur () est présenté en tant que lecteur BigQuery avec la condition que vous avez définie à l'étape 3.

Félicitations !

Dans cet atelier, vous avez créé une configuration d'analyse de détection pour BigQuery en mode suspendu. Ensuite, vous avez créé un tag pour signaler les données sensibles dans BigQuery et mis à jour la configuration de l'analyse de découverte afin qu'elle utilise automatiquement ce tag pour la détection. Enfin, vous avez utilisé le tag créé pour accorder un accès conditionnel aux données BigQuery à d'autres utilisateurs.

Étapes suivantes et informations supplémentaires

Consultez les ressources suivantes pour en savoir plus sur Sensitive Data Protection pour BigQuery :

• Page de documentation Utiliser Sensitive Data Protection avec BigQuery
• Page de documentation Interroger les résultats Sensitive Data Protection dans BigQuery

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 18 novembre 2024

Dernier test de l'atelier : 18 novembre 2024

Copyright 2025 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.