Invia i risultati dell'ispezione a Knowledge Catalog come aspetti

Questo documento descrive come ispezionare una tabella BigQuery per i dati sensibili e inviare i risultati dell'ispezione a Knowledge Catalog. Questa azione aggiunge automaticamente un aspetto alla voce Knowledge Catalogassociata alla tabella BigQuery.

Questo documento fornisce anche query di esempio che puoi utilizzare per trovare dati nella tua organizzazione e nei tuoi progetti con valori di aspetto specifici.

Questa funzionalità è utile se vuoi arricchire i metadati in Knowledge Catalog con le classificazioni dei dati sensibili dei job di ispezione di Sensitive Data Protection.

Gli aspetti generati includono i seguenti dettagli:

  • Il nome del job di ispezione
  • I tipi di informazioni (infoTypes) rilevati nella tabella

Informazioni su Knowledge Catalog

Knowledge Catalog fornisce un inventario unificato di Google Cloud risorse.

Knowledge Catalog ti consente di utilizzare gli aspetti per aggiungere metadati aziendali e tecnici ai tuoi dati per acquisire il contesto e le conoscenze sulle tue risorse. Puoi quindi cercare e scoprire i dati nella tua organizzazione e abilitare la governance dei dati sui tuoi asset di dati. Per saperne di più, consulta Aspetti.

Come funziona

Per creare automaticamente gli aspetti di Knowledge Catalog in base ai risultati dei job di ispezione, segui questo flusso di lavoro di alto livello:

  1. Crea o modifica un job di ispezione che ispeziona una tabella BigQuery. Per istruzioni, consulta Ispezionare una tabella BigQuery.

  2. Nel passaggio Aggiungi azioni, abilita Pubblica in Dataplex Universal Catalog.

Sensitive Data Protection adds or updates the Sensitive Data Protection job result aspect of the Knowledge Catalog entry associated with the BigQuery table. Puoi quindi cercare in Knowledge Catalog tutti i dati della tua organizzazione o del tuo progetto con valori di aspetto specifici. Per le query di esempio, consulta Query di ricerca di esempio in questo documento.

L'aspetto Knowledge Catalog risultante viene archiviato nello stesso progetto e nella stessa regione della tabella BigQuery.

Campi degli aspetti

L'aspetto Sensitive Data Protection job result ha i seguenti campi:

Nome job
Il nome completo della risorsa del job di ispezione, ad esempio projects/example-project/locations/us/dlpJobs/i-8992079400000000000.
Conteggi infoType
I nomi degli infoType cercati dal job di ispezione, come specificato nella configurazione dell'ispezione, e il conteggio dei risultati per ogni infoType. Un infoType senza risultati ha un conteggio di 0.
Ora di fine
La data e l'ora in cui è terminato il job di ispezione.
Is Full Scan
Indica se il job di ispezione ha eseguito la scansione di tutte le righe della tabella. Se, ad esempio, il campionamento è abilitato nel job di ispezione, il valore di questo campo è False.
Has Findings
Indica se il job di ispezione ha rilevato uno degli infoType per cui ha eseguito la scansione.

Abilitare l'API Dataplex

L'API Dataplex deve essere abilitata in ogni progetto che contiene i dati per cui vuoi aggiungere gli aspetti. Questa sezione descrive come abilitare l'API Dataplex in un singolo progetto o in tutti i progetti di un'organizzazione o di una cartella.

Abilitare l'API Dataplex in un singolo progetto

  1. Seleziona il progetto in cui vuoi abilitare l'API Dataplex.

    Vai al selettore di progetti

  2. Abilita l'API Dataplex.

    Ruoli richiesti per abilitare le API

    Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

    Abilitare l'API

Abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella

Questa sezione fornisce uno script che cerca tutti i progetti in un'organizzazione o in una cartella e abilita l'API Dataplex in ciascuno di questi progetti.

Per ottenere le autorizzazioni necessarie per abilitare l'API Dataplex in tutti i progetti di un' organizzazione o di una cartella, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per abilitare l'API Dataplex in tutti i progetti di un' organizzazione o di una cartella. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella sono richieste le seguenti autorizzazioni:

  • Per cercare tutti i progetti in un'organizzazione o in una cartella: cloudasset.assets.searchAllResources nell'organizzazione o nella cartella
  • Per abilitare l'API Dataplex: serviceusage.services.use in ogni progetto in cui vuoi abilitare l'API Dataplex

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per abilitare l'API Dataplex in tutti i progetti di un'organizzazione o di una cartella:

  1. Nella Google Cloud console, attiva Cloud Shell.

    Attiva Cloud Shell

    Nella parte inferiore della Google Cloud console viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già inclusa e installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.

  2. Esegui questo script:

    #!/bin/bash

RESOURCE_ID="RESOURCE_ID"

gcloud asset search-all-resources \
    --scope="RESOURCE_TYPE/$RESOURCE_ID" \
    --asset-types="cloudresourcemanager.googleapis.com/Project" \
    --format="value(name)" |
    while read project_name; do
      project_id=$(echo "$project_name" | sed 's|.*/||')
      gcloud services enable "dataplex.googleapis.com" --project="$project_id"
    done

    Sostituisci quanto segue:

    • RESOURCE_ID: il numero dell'organizzazione o della cartella della risorsa che contiene i progetti
    • RESOURCE_TYPE: il tipo di risorsa che contiene i progetti: organizations o folders

Ruoli e autorizzazioni per la visualizzazione degli aspetti

Per ottenere le autorizzazioni necessarie per cercare gli aspetti associati alla tabella BigQuery, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tabella:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per cercare gli aspetti associati alla tabella BigQuery. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per cercare gli aspetti associati alla tabella BigQuery sono richieste le seguenti autorizzazioni:

  • Visualizza le voci Knowledge Catalog:
    • dataplex.entries.list
    • dataplex.entries.get
  • Visualizza set di dati e tabelle BigQuery:
    • bigquery.datasets.get
    • bigquery.tables.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Per saperne di più sulle autorizzazioni necessarie per utilizzare Knowledge Catalog, consulta Autorizzazioni IAM di Knowledge Catalog.

Configurare ed eseguire un job di ispezione di Sensitive Data Protection

Puoi configurare ed eseguire un job di ispezione di Sensitive Data Protection utilizzando la Google Cloud console o l'API DLP.

Console

  1. Nella Google Cloud console, vai alla pagina Crea job o trigger di job.

    Vai a Crea job o trigger di job

  2. Seleziona il progetto.
  3. Inserisci i dettagli del job di ispezione richiesti e i dettagli della tabella BigQuery che vuoi ispezionare. Per istruzioni, consulta Ispezionare una tabella BigQuery. Per un elenco completo dei tipi di informazioni per cui Sensitive Data Protection può eseguire l'ispezione, consulta il riferimento per i rilevatori di infoType.
  4. In Aggiungi azioni, abilita Pubblica in Dataplex Universal Catalog.
  5. Fai clic su Crea. Il job viene eseguito immediatamente.

REST

L'esempio seguente invia una projects.locations.dlpJobs.create richiesta per ispezionare una tabella BigQuery e inviare i risultati a Knowledge Catalog.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • PROJECT_ID: il tuo Google Cloud ID progetto. Gli ID progetto sono stringhe alfanumeriche
  • LOCATION: la regione o la multiregione in cui vuoi elaborare la richiesta, ad esempio europe-west1 o us. Per le località disponibili, consulta Località di Sensitive Data Protection.
  • BIGQUERY_DATASET_NAME: nome del set di dati BigQuery che contiene la tabella da ispezionare
  • BIGQUERY_TABLE_NAME: nome della tabella BigQuery da ispezionare

Metodo HTTP e URL: 

POST https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/dlpJobs

Corpo JSON della richiesta: 

{
              "inspectJob":
              {
                "storageConfig":
                {
                  "bigQueryOptions":
                  {
                    "tableReference":
                    {
                      "projectId": "PROJECT_ID",
                      "datasetId": "BIGQUERY_DATASET_NAME",
                      "tableId": "BIGQUERY_TABLE_NAME"
                    }
                  }
                },
                "inspectConfig":
                {
                  "infoTypes":
                  [
                    {
                      "name": "EMAIL_ADDRESS"
                    },
                    {
                      "name": "PERSON_NAME"
                    },
                    {
                      "name": "US_SOCIAL_SECURITY_NUMBER"
                    },
                    {
                      "name": "PHONE_NUMBER"
                    }
                  ],
                  "includeQuote": true,
                  "minLikelihood": "UNLIKELY",
                  "limits":
                  {
                    "maxFindingsPerRequest": 100
                  }
                },
                "actions":
                [
                  {
                    "publishFindingsToDataplexCatalog": {}
                  }
                ]
              }
            }

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/dlpJobs/JOB_ID",
  "type": "INSPECT_JOB",
  "state": "PENDING",
  "inspectDetails": {
    "requestedOptions": {
      "snapshotInspectTemplate": {},
      "jobConfig": {
        "storageConfig": {
          "bigQueryOptions": {
            "tableReference": {
              "projectId": "PROJECT_ID",
              "datasetId": "BIGQUERY_DATASET_NAME",
              "tableId": "BIGQUERY_TABLE_NAME"
            }
          }
        },
        "inspectConfig": {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            },
            {
              "name": "PERSON_NAME"
            },
            {
              "name": "US_SOCIAL_SECURITY_NUMBER"
            },
            {
              "name": "PHONE_NUMBER"
            }
          ],
          "minLikelihood": "UNLIKELY",
          "limits": {
            "maxFindingsPerRequest": 100
          },
          "includeQuote": true
        },
        "actions": [
          {
            "publishFindingsToDataplexCatalog": {}
          }
        ]
      }
    },
    "result": {}
  },
  "createTime": "2025-09-09T00:29:55.951374Z",
  "lastModified": "2025-09-09T00:29:58.022967Z"
}

Per informazioni su come ottenere i risultati del job di ispezione utilizzando l' API DLP, consulta Ottenere un job.

Query di ricerca di esempio

Questa sezione fornisce query di ricerca di esempio che puoi utilizzare in Knowledge Catalog per trovare dati nella tua organizzazione o nel tuo progetto con valori di aspetto specifici.

Puoi trovare solo i dati a cui hai accesso. L'accesso ai dati è controllato tramite le autorizzazioni IAM. Per saperne di più, consulta Ruoli e autorizzazioni per la visualizzazione degli aspetti in questo documento.

Puoi inserire queste query di esempio nel campo Cerca nella pagina Cerca di Knowledge Catalog.

Vai a Cerca

Per informazioni su come formare le query, consulta Sintassi di ricerca per Knowledge Catalog.

Trovare le voci di tutte le tabelle che hanno l'aspetto del risultato del job di Sensitive Data Protection

aspect:sensitive-data-protection-job-result

Trovare le voci delle tabelle ispezionate che hanno risultati

aspect:sensitive-data-protection-job-result.hasFindings=True

Trovare le voci delle tabelle ispezionate che non hanno risultati

aspect:sensitive-data-protection-job-result.hasFindings=False

Trovare le voci delle tabelle ispezionate completamente

La query seguente restituisce le voci delle tabelle ispezionate da Sensitive Data Protection riga per riga.

aspect:sensitive-data-protection-job-result.isFullScan=True

Trovare le voci delle tabelle non ispezionate completamente

La query seguente restituisce le voci delle tabelle ispezionate da Sensitive Data Protection tramite campionamento.

aspect:sensitive-data-protection-job-result.isFullScan=False

Eseguire la migrazione all'azione Pubblica in Dataplex Universal Catalog

Per eseguire la migrazione di un trigger di job configurato per utilizzare l'azione deprecata Pubblica in Data Catalog:

  1. Modifica il trigger di job configurato per pubblicare i risultati dell'ispezione in Data Catalog. Per informazioni su come aprire e modificare un trigger di job, consulta Aggiornare un trigger di job esistente.
  2. Nella sezione Azioni, disabilita Pubblica in Data Catalog.
  3. Abilita Pubblica in Dataplex Universal Catalog.
  4. Fai clic su Salva.