注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
一次性和定期的敏感数据扫描均通过相同的用户工作流程配置。首先,导航到敏感数据扫描器应用程序并选择创建新的敏感数据扫描。这将打开一个概述页面,解释创建敏感数据扫描的步骤:
您可以通过在包含的数据集和文件夹下选择添加资源来明确包含要扫描的数据集或文件夹。如果您添加文件夹,则这些文件夹内的所有数据集将被扫描,除非它们被明确排除。您必须在此部分至少包含一个文件夹(包括空间/项目)或数据集才能继续。
同样,您可以通过在排除的数据集和文件夹下选择添加资源来明确排除要扫描的数据集或文件夹。如果您添加文件夹,则这些文件夹内的所有数据集将被排除在扫描之外,除非它们被明确包含。您不需要明确排除任何资源(此部分可以留空)。
在资源同时被包含和排除的罕见情况下,最具体的包含或排除将优先。例如,一个数据集可以被包含,但它可能位于一个被排除的文件夹中。在这种情况下,数据集(包含)比父文件夹(排除)更具体,因此数据集将被扫描。
以下扫描策略选项允许您进一步细化您的敏感数据扫描的行为。
敏感数据扫描器允许您基于某些数据集属性来指定要扫描的数据集。有两种选项:
在下面的示例中,敏感数据扫描器将仅扫描所选文件夹内的源数据集。
此外,您可以选择配置要扫描的行数。
在扫描计划部分,您有两种选项来配置扫描的运行时间:
类似于明确包含和排除数据集和文件夹,您可以基于这些数据集上的权限标记来包含和排除数据集。这是一个高级功能,通常用于排除已被保护的数据集。例如,在下面的截图中,我们看到标记为PII(个人身份信息)的数据集将不会被扫描,因为此PII权限标记可能是在先前敏感数据扫描中的匹配之后应用的。
创建敏感数据扫描的第一步是选择您希望查找的特定匹配条件,然后选择在找到匹配时敏感数据扫描器应执行的特定匹配操作。
在选择匹配条件时,请考虑您希望查找哪些敏感数据以及您的空间中已经有哪些匹配条件可用。如果所需类型的敏感数据没有相应的匹配条件,您可以创建新的匹配条件。
选择匹配操作时,请考虑检测到敏感数据的适当响应:您可以选择应用权限标记,这将在包含敏感数据的数据集上施加访问控制,或者创建问题,这将通知指定的用户群体发现了敏感数据。您也可以选择不应用任何匹配操作。
如果在您的空间中不存在适当的匹配操作,您可以创建一个。有关详细信息,请参阅创建匹配操作。
如果您的敏感数据扫描涉及大量数据集,建议在继续之前测试匹配条件。配置错误的匹配条件可能会产生误报,从而导致不必要的问题或数据集上的权限标记。要测试匹配条件,请为您的扫描选择无匹配操作。扫描完成后,确认匹配条件与预期的数据格式一致,您可以从扫描的概览页面应用额外的匹配操作。
有关详细信息,请查看应用额外的匹配操作。
在创建敏感数据扫描的最后阶段,您可以审查为扫描选择的匹配条件、匹配操作和资源。
在此步骤中,敏感数据扫描器还将根据您在调整扫描时选择的资源筛选器计算扫描所需的数据集。
如果您选择了一次性扫描计划,可以通过选择运行一次性扫描来触发扫描。
如果您选择了定期扫描计划,您还可以为扫描添加名称和描述。然后,您可以通过选择保存为定期扫描来保存扫描。
对于在过去七天内创建的不活跃扫描,您可以选择额外的匹配操作以应用于扫描发现的敏感数据。
对于定期扫描,额外的匹配操作将仅适用于在选择额外匹配操作之前识别的匹配。如果扫描稍后重新激活,定期扫描检测到的任何未来敏感数据将不会自动应用先前选择的额外匹配操作。
查看扫描概览页面底部的额外匹配操作的应用状态。
对于在过去七天内创建的不活跃扫描,您可以撤销之前应用于扫描发现的敏感数据的匹配操作。对于创建问题匹配操作,这将导致删除由操作创建的问题。对于应用权限标记匹配操作,这将涉及移除由操作应用的权限标记。
对于定期扫描,仅在执行匹配操作撤销时的操作结果将被撤销。如果扫描稍后重新激活,任何未来由定期扫描发现的敏感数据仍将应用匹配操作(如果在初始扫描设置中配置),即使在撤销后也是如此。要阻止定期扫描在再次激活时继续执行某些匹配操作,请在重新激活扫描之前编辑定期扫描以移除匹配操作。
查看扫描概览页面底部的匹配操作撤销状态。