GSP1282

總覽

Sensitive Data Protection 是一項全代管服務，可以協助您找出、分類和保護敏感資訊。主要功能包括：機密資料探索 (能持續剖析敏感資料)、機密資料去識別化 (包括遮蓋) 和 Cloud Data Loss Prevention (DLP) API (可將探索、檢查和去識別化功能整合至自訂工作負載和應用程式)。

您可以運用 Sensitive Data Protection 搭配 Google Cloud Identity and Access Management (IAM)，在探索掃描期間自動標記機密資料，並向組織使用者授予條件式存取權，來保護 BigQuery 中的機密資料。

在本實驗室中，您要先在暫停模式下建立 BigQuery 探索掃描設定。然後，您將建立標記來標示 BigQuery 中的機密資料，並更新探索掃描設定，使用建立的標記自動掃描資料。最後，您要使用建立的標記，向其他使用者授予 BigQuery 資料的條件式存取權。

課程內容

本實驗室的內容包括：

• 在暫停模式下建立 BigQuery 探索掃描設定。
• 透過建立標記及授予角色，在探索掃描期間自動加上標記。
• 更新已暫停的探索掃描作業，使用建立的標記自動加上標記，然後開始掃描。
• 使用標記授予 BigQuery 資料的條件式存取權。

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

工作 1：在暫停模式下建立 BigQuery 探索掃描設定

Sensitive Data Protection 的探索服務可協助您找出組織內機密和高風險資料的所在位置。建立探索掃描設定後，Sensitive Data Protection 會掃描您指定要檢查的資源，並生成資料剖析檔，也就是針對找到的 infoType (機密資料類型) 提供一系列洞察資訊，以及有關資料風險和機密程度的中繼資料。

在這項工作中，您將建立探索掃描作業，自動剖析 BigQuery 資料。系統可能需要一段時間才能生成完整的探索結果，因此本實驗室的最後一項工作會提供主要結果的重點和摘要供您參考。

1. 前往 Google Cloud 控制台的「導覽選單」，點選「安全性」。

2. 點選「資料保護」下方的「Sensitive Data Protection」。

3. 點選「探索」分頁標籤。

4. 點選「BigQuery」下方的「啟用」。

5. 在「選取探索類型」部分，保持「BigQuery」選項的啟用狀態，然後點選「繼續」。

6. 在「選取範圍」部分，保持「掃描所選專案」選項的啟用狀態，然後點選「繼續」。

7. 保留「管理時間表」設定的預設值，然後點選「繼續」。

   在本實驗室中，您會將探索掃描作業安排在建立後立即執行，但其實還有許多其他掃描作業排程方式可供選擇，包括定期執行 (如每天或每週)，或在特定事件發生後執行 (如檢查範本更新時)。

8. 在「選取檢查範本」部分，保持「建立新的檢查範本」選項的啟用狀態。

9. 其餘設定均保留預設值，然後點選「繼續」。

   新的檢查範本預設包含所有現有的 infoType。

   在「可信度門檻」部分，「最低可能性」的預設值為「或許可能」，這表示，您只會看到評估結果為「或許可能」、「有可能」和「非常可能」的發現項目。

   在後續工作中，您將修改這個檢查範本，探索其他的 infoType 和可信度門檻選項。

10. 在「新增動作」部分，啟用「發布至 Security Command Center」。

11. 在「新增動作」部分，一併啟用「將資料設定檔副本儲存至 BigQuery」，並提供本實驗室預先建立的資料集和資料表，以便將結果儲存至 BigQuery。

屬性	值
專案 ID
資料集 ID	bq_discovery
資料表 ID	data_profiles

請注意「標記資源」動作下方的訊息，內容指出服務代理需要特定角色，才能自動加上標記。

在下一項工作中，您將建立標記並向服務帳戶授予必要的角色，以便在探索掃描期間自動加上標記。

12. 其餘設定均保留預設值，然後點選「繼續」。

13. 在「設定儲存設定的位置」部分，保持「美國 (多個美國地區)」選項的啟用狀態，然後點選「繼續」。

14. 提供這項設定的顯示名稱：BigQuery Discovery

15. 啟用「在暫停模式下建立掃描作業」。

這個選項會建立探索掃描設定，但還不會開始掃描，因此您可以建立標記，並將適當的 AM 角色授予探索掃描服務代理 ID。

16. 按一下「建立」，然後點選「建立設定」來確認建立。

點選「Check my progress」，確認目標已達成。 建立 BigQuery 探索掃描設定

工作 2：透過建立標記及授予角色，在探索掃描期間自動加上標記

您可以在 IAM 建立機密程度標記，然後用來在探索掃描期間自動標記資源，並對加上該標記的特定資源授予/拒絕存取權。

在這項工作中，您將在 IAM 建立機密程度標記，並設定四個標記值來代表不同的機密程度：低、中、高和未知。

在 IAM 建立機密程度標記

1. 前往 Google Cloud 控制台的「導覽選單」，依序點選「IAM 與管理」>「標記」。

2. 點選「+ 建立」。

3. 在「標記鍵」部分，輸入標記的顯示名稱：sensitivity-level。

4. 在「標記鍵說明」部分，輸入這個標記的說明：Sensitivity level tagged as low, moderate, high, and unknown。

5. 點選「+ 新增值」。

6. 在「標記值」部分，輸入第一個標記值的顯示名稱：low。

7. 在「標記值說明」部分，輸入這個標記值的說明：Tag value to attach to low-sensitivity data。

8. 重複步驟 5 至 7，建立另外三個標記值：

標記值	標記值說明
moderate	Tag value to attach to moderate-sensitivity data
high	Tag value to attach to high-sensitivity data
unknown	Tag value to attach to resources with an unknown sensitivity level

9. 點選「建立標記鍵」。

標記鍵可能需要一分鐘才會建立完成。

10. 建立標記鍵後，點選標記鍵名稱即可查看詳細資料。

請注意，標記鍵的路徑為 /sensitivity-level，標記值則包括：high、low、moderate、unknown。

結合標記鍵路徑與標記值，即為標記值路徑。下一項工作會用到這類路徑，例如：

• /sensitivity-level/high

點選「Check my progress」，確認目標已達成。 在 IAM 建立機密程度標記

使用 IAM 向服務帳戶授予探索掃描作業所需的角色

服務代理須具備 resourcemanager.tagUser 角色，才能自動標記資源。在本節中，您要按照「根據資料機密程度控管 IAM 存取權」說明文件中的步驟，授予這個角色。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

如果出現提示訊息，請點選「繼續」。

2. 執行下列指令，為目前專案的編號建立變數：

export PROJECT_NUMBER=$(gcloud projects describe {{{project_0.project_id | Project ID}}} --format="get(projectNumber)")

如果出現提示訊息，請點選「授權」。

3. 執行下列指令，向服務帳戶授予探索掃描作業所需的標記使用者角色：

gcloud projects add-iam-policy-binding {{{project_0.project_id | Project ID}}} --member=serviceAccount:service-$PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com --role=roles/resourcemanager.tagUser

點選「Check my progress」，確認目標已達成。 使用 IAM 向服務帳戶授予探索掃描作業所需的角色

工作 3：將已暫停的探索掃描作業更新為自動加上標記，然後開始掃描

您已將自動標記資源所需的適當角色授予服務帳戶，現在可以在探索掃描作業中啟用標記資源選項。

新增標記值並開始探索掃描

1. 返回 Sensitive Data Protection「總覽」頁面。

2. 在「探索」>「掃描設定」分頁下，找出名為「BigQuery Discovery」的資料列。點選該資料列的「查看動作」(直向三點圖示)，然後選取「編輯」。

3. 在「新增動作」下方，啟用「標記資源」和下列相關選項：

屬性	值
「為高敏感資源加上標記」	啟用並提供標記值：/sensitivity-level/high
「為中等敏感資源加上標記」	啟用並提供標記值：/sensitivity-level/moderate
「為低敏感資源加上標記」	啟用並提供標記值：/sensitivity-level/low
「為敏感程度不明的資源加上標記」	啟用並提供標記值：/sensitivity-level/unknown

4. 同時啟用下列兩個選項：

   • 為資源加上標記後，將其剖析檔的資料風險降至「低」。
   • 初次剖析資源時加上標記。

5. 依序點選「儲存」和「確定修改」。

6. 最後點選「繼續掃描」，開始探索掃描。

點選「Check my progress」，確認目標已達成。 將已暫停的探索掃描作業更新為自動加上標記，然後開始掃描

您可以從資料探索結果中掌握哪些資訊？

注意：設定掃描作業開始後，可能要過一段時間才能取得完整結果。

下圖顯示在這個實驗室環境中，為 BigQuery 啟用探索服務後會產生的主要結果。

就本實驗室環境的 BigQuery 資料而言，結果指出可能有數種 infoType，包括屬於高敏感資料的美國社會安全號碼。

圖 1. 在 UI 中啟用 BigQuery 探索服務

系統在 BigQuery 找出了三個剖析檔：兩個機密程度低 (分別為探索結果資料集，以及包含受損車輛圖片中繼資料的資料集)，一個機密程度高 (包含車輛買家詳細資料的資料集)。

圖 2. 機密資料目錄詳情

結果的這個部分會顯示三個資料剖析檔的全域位置。在本例中，兩者都位於 us-central1 區域。

圖 3. 含有 infoType 的 BigQuery 剖析檔

探索結果也提供在 BigQuery 找出的主要 infoType：美國社會安全號碼、出生日期、電子郵件地址、姓名等。

圖 4. 探索結果的「剖析檔」分頁

「剖析檔」分頁會顯示各個特定 BigQuery 資料集名稱的機密程度和風險等級：一個機密程度低 (用於接收工作輸出內容的空 bucket)，另一個機密程度高 (包含美國社會安全號碼等原始資料的 bucket)。

在本實驗室環境中，請務必在「位置類型」部分依序選取「區域」>「」，這樣才能查看剖析檔。

工作 4：使用標記探索 BigQuery 的條件式存取權

您可以使用 IAM，根據附加於特定資源的機密程度標記，透過條件式角色繫結，向使用者授予角色。舉例來說，您可以只授權使用者存取標記為機密程度低的 BigQuery 資料。這樣一來，使用者就無法再存取任何無標記和未標記的 BigQuery 資料。

在這項工作中，您一開始會查看系統已在本實驗室環境授予 Username 2 的現有 BigQuery 存取權。接著，您將根據低機密程度資料標記，更新 Username 2 的存取權，並手動將該標記指派給其中一個 BigQuery 資料集。最後，您要為 Username 2 測試更新後的 BigQuery 存取權，來驗證條件式存取權。

以 Username 2 的身分測試目前的 BigQuery 存取權

在本節中，您要先以 Username 2 () 的身分登入 Cloud 專案。展開下方的提示，即可查看切換為新使用者的說明。

完整解決方法 (展開即可查看完整步驟！)

以 Username 2 的身分完成下列步驟，確認現有 BigQuery 存取權已授予 Username 2。

1. 前往 Google Cloud 控制台的「導覽選單」，點選「BigQuery」。

2. 前往「Explorer」面板，展開專案 ID () 旁的箭頭，即可查看 BigQuery 資料集清單。

   請注意，這裡有四個 BigQuery 資料集：

   • bq_discovery：用於儲存探索掃描作業產生的剖析檔
   • bq_inspection：用於儲存檢查結果
   • car_buyers：包含車輛買家的敏感資料，例如美國社會安全號碼
   • damaged_car_image_info：包含受損車輛相關非敏感資料

更新 Username 2 的 IAM 角色

在本節中，您要先以 Username 1 () 的身分，再次登入 Cloud 專案。展開下方的提示，即可查看切換為新使用者的說明。

完整解決方法 (展開即可查看完整步驟！)

1. 前往 Google Cloud 控制台的「導覽選單」，依序點選「IAM 與管理」>「IAM」。

2. 找出 Username 2 () 所在的資料列，然後點選「編輯主體」(鉛筆圖示)。

3. 找出「檢視者」角色所在的資料列，然後點選「刪除角色」(垃圾桶圖示)。

4. 點選「新增其他角色」。

5. 在「請選擇角色」部分，依序選取「基本」>「瀏覽者」。

6. 找出「BigQuery 資料檢視者」角色所在的資料列，然後點選「新增 IAM 條件」。

7. 在「標題」部分輸入 Low Sensitivity Data Access Only。

8. 在「條件建構工具」下方，選取「標記」做為「條件類型 1」，選取「有值」做為「運算子」。

9. 在「值路徑」部分，提供您於工作 3 使用的低機密資源標記值。

如果您需要提醒，展開提示即可查看標記值！

10. 點選「儲存」，然後再次點選「儲存」。

在 BigQuery 資料集新增低機密標記

在本節中，您將繼續以 Username 1 () 的身分登入。

請注意，完整探索掃瞄作業需要一些時間才能完成，因此目前還沒有任何 BigQuery 資料集加上機密程度標記。

為了測試條件式存取權，您要將低機密標記手動指派至不含敏感資料的 BigQuery 資料集 damaged_car_image_info。

1. 前往 Google Cloud 控制台的「導覽選單」，點選「BigQuery」。

2. 前往「Explorer」面板，展開專案 ID () 旁的箭頭，即可查看 BigQuery 資料集清單。

3. 點選「damaged_car_image_info」來開啟資料集資訊分頁，接著點選「編輯詳細資料」(鉛筆圖示)。

4. 在「標記」下方，依序點選「選取範圍」>「選取目前的專案」。

5. 選取下列詳細資料。

屬性	值
Key 1	sensitivity-level
Value 1	low

6. 點選「儲存」。

以 Username 2 的身分測試條件式 BigQuery 存取權

在本節中，您要以 Username 2 () 的身分，最後一次登入 Google Cloud 專案。展開下方的提示，即可查看切換為新使用者的說明。

完整解決方法 (展開即可查看完整步驟！)

以 Username 2 的身分完成下列步驟，確認條件式 BigQuery 存取權已授予 Username 2。

1. 依序點選「導覽選單」 >「BigQuery」，返回 BigQuery。

2. 前往資料探索工具面板，展開專案 ID () 旁的箭頭，即可查看 BigQuery 資料集清單。

   設定適當條件來更新 IAM 角色後，畫面僅會列出一個 BigQuery 資料集，因為只有該資料集含低機密標記：

   • damaged_car_image_info

注意：更新 IAM 角色後，可能需要 5 到 10 分鐘才會全面生效。您可以持續重新整理 BigQuery 頁面，直到只剩一個 BigQuery 資料集：damaged_car_image_info。

3. 將 Username 2 登出專案。

點選「Check my progress」，確認目標已達成。 使用標記探索 BigQuery 的條件式存取權

工作 5：查看初步探索結果

注意：如先前所述，設定掃描作業開始後，可能要過一段時間才能取得完整結果。

由於您剛剛在向其他使用者授予條件式存取權及進行測試，已經過一段時間，Looker 資訊主頁會開始顯示部分探索掃描結果。

在本節中，您要先以 Username 1 () 的身分，再次登入 Google Cloud 專案。

展開下方的提示，即可查看切換為新使用者的說明。

完整解決方法 (展開即可查看完整步驟！)

在 Looker 資訊主頁查看結果摘要

1. 返回 Sensitive Data Protection「總覽」頁面。

2. 在「探索」>「掃描設定」分頁下，找出名為「BigQuery Discovery」的資料列。在「Data Studio」下方，點選該列的「Looker」。

3. 在「正在要求授權」部分，點按「授權」。

4. 在「從 qwiklabs.net 中選擇一個帳戶」對話方塊中，選取「」。

5. 查看「Summary Overview」頁面。

   請注意，這裡的資料方塊彙整了資料風險、資料機密程度和資產類型等重要資訊。

6. 點選「Advanced Exploration (Asset Details)」。

7. 找出 infoType 為 US_SOCIAL_SECURITY_NUMBER 的資料列。在「Action」下方，點選該列的「Open」。

在 Sensitive Data Protection 查看詳細結果

1. 查看隨即開啟的「機密資料探索：檔案儲存庫剖析檔詳細資料」頁面。

   請注意，頁面針對掃描的資源提供許多詳細資料，包括 IAM 權限。

2. 展開「查看詳細的身分與存取權管理權限」旁的箭頭。

3. 展開「BigQuery 檢視者」旁的箭頭。

請注意，另一個使用者 () 已列為 BigQuery 檢視者，且具備您在工作 3 設定的條件。

恭喜！

在本實驗室中，您於暫停模式下建立了 BigQuery 探索掃描設定。然後，您建立標記來標示 BigQuery 中的機密資料，並更新探索掃描設定，使用建立的標記自動掃描資料。最後，您使用建立的標記，向其他使用者授予 BigQuery 資料的條件式存取權。

後續步驟/瞭解詳情

歡迎參考下列資源，進一步瞭解如何將 Sensitive Data Protection 用於 BigQuery：

• 「使用 Sensitive Data Protection 搭配 BigQuery」說明文件頁面
• 「查詢 Sensitive Data Protection 在 BigQuery 的發現結果」說明文件頁面

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 11 月 18 日

實驗室上次測試日期：2024 年 11 月 18 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。