导出组织的云端硬盘资产清单

支持此功能的版本:一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

作为管理员,您可以将组织的 Google 云端硬盘资产清单导出到 BigQuery。资产清单包含与每个文件关联的元数据,例如大小、应用的标签以及共享对象,但不包含文件内容。您可以查看这些信息,以评估对敏感文件的访问权限是否符合组织的法规、合规性和数据安全目标。

将您的云端硬盘资产清单存储在 BigQuery 中后,您可以使用 Looker Studio 等分析工具以及第三方可视化合作伙伴创建自定义报告和信息中心。

注意

  • 因为 Google BigQuery 是 Google Cloud 产品,所以本页面中的某些步骤需在 Google Cloud 控制台中执行。
  • 您必须为 Google Cloud 项目设置结算,因为在 BigQuery 中查询和存储云端硬盘资产清单导出内容需要付费。 如需了解详情,请查看 BigQuery 结算账号的价格详情。您可以使用 Google Cloud 价格计算器估算存储费用。100 万个文件的元数据在 BigQuery 中占用大约 1.5 GB 的物理存储空间。
  • 您需要拥有受支持的许可才能设置云端硬盘资产清单报告导出,但该报告包含所有用户的数据。
  • 您的云端硬盘资产清单每周导出一次,但您也可以选择每天导出。导出内容会覆盖之前的导出内容。为了保留之前的导出数据,请使用 BigQuery Data Transfer Service 自动复制数据集
  • 导出的云端硬盘资产清单有可能会缺少部分文件的文件元数据。在极少数情况下,某些文件可能不会包含在内。

第 1 步:为您的云端硬盘资产清单设置 BigQuery 项目和数据集

  1. Google Cloud 控制台中,创建或打开一个活跃的 BigQuery 项目。
    有关详情,请参阅创建和管理项目
  2. 为项目启用结算功能(如果尚未启用)。
  3. 前往项目的 IAM 页面
  4. 向 Google Workspace 管理员账号授予导出数据的访问权限,以便处理和查看数据。详细了解 BigQuery IAM 角色和权限以及如何控制对资源的访问权限。对于您要授予导出权限的所有 Google Workspace 账号:
    1. 在主账号列表顶部,点击授予访问权限
    2. 添加主账号中,输入 Google Workspace 账号的电子邮件地址。
    3. 点击 BigQuery Data Editor (bigquery.dataEditor) 角色。提示:点击过滤并输入 BigQuery,以查找其他 BigQuery 专属角色。
    4. 点击保存
  5. 为您自己和将管理云端硬盘资产清单导出的任何其他管理员授予项目的 IAM 管理员权限:
    1. 在同一 IAM 页面上,点击现有主账号或按照上一步中的说明创建新的主账号。
    2. 点击 Resource Manager 角色,然后选择 Project IAM Admin
    3. 点击保存
  6. 查找或创建 BigQuery 数据集以存储云端硬盘资产清单导出数据。
    1. 依次点击导航菜单 然后BigQuery
    2. 在左侧的探索器面板中,展开您的项目以列出现有数据集。
    3. 如果有您想使用的某个数据集,请记下要在下一步中使用的 ID。
    4. 如果您想使用新数据集,请参阅创建数据集。记下要用于下一步的数据集名称。

第 2 步:开启并设置云端硬盘资产清单导出

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后数据集成(对于教育机构管理员,请点击 BigQuery Export,这会打开“数据集成”页面)。

    需要拥有“报告”管理员权限。

  2. 点击云端硬盘资产清单导出
  3. 勾选允许将云端硬盘资产清单报告导出至 Google BigQuery 复选框,以启用云端硬盘资产清单导出功能。
  4. BigQuery 项目 ID 部分,选择您要将云端硬盘资产清单导出内容存储到其中的项目。如果您未看到项目,则需要在 BigQuery 中创建。如需了解详情,请参阅有关使用 Google Cloud 控制台的快速入门
  5. 项目中的现有数据集部分,输入要用来在项目中存储云端硬盘资产清单的数据集的名称。如果您还没有数据集,请参阅创建数据集了解相关步骤。
  6. 对于导出时间安排,请选择每周每天
  7. 点击保存。如果您收到无法保存的错误消息,请在 Google Cloud 控制台中检查是否存在以下问题:
    1. 前往项目的 IAM 页面,并确保您的账号具有 Project IAM Admin 角色 (resourcemanager.projects.setIamPolicy)。如果没有,请为您的账号授予该角色。
    2. 前往政策问题排查工具,检查是否有任何拒绝政策阻止您访问项目。如需了解详情,请参阅排查政策问题

启用导出功能后,您应该会在 1-2 周内看到第一个导出内容出现在 BigQuery 中。之后,导出内容每周或每天更新一次,具体取决于您在设置中选择的选项。

第 3 步:(可选)更新数据到期时间

数据导出的默认到期时间为 60 天,到期后数据会从 Google Cloud 中删除。

如需更改到期时间,请参阅更新默认表到期时间

第 4 步:监控导出操作并针对失败设置提醒

云端硬盘资产清单导出事件包含在管理员日志事件中。在安全调查工具中,您可以搜索与云端硬盘资产清单导出相关的事件并设置提醒。

事件名称 详细信息
云端硬盘资产清单报告导出已完成 在导出完成时记录。
云端硬盘资产清单报告导出失败 在导出失败时记录。您可以配置提醒,以便在导出失败时收到通知。如需解决此问题,请参阅本页面中的排查缺少导出数据和错误消息的问题
已创建云端硬盘资产清单导出配置 在管理员设置云端硬盘资产清单导出时记录。
已更新云端硬盘资产清单导出配置 在更新项目或数据集时记录。
已开始删除云端硬盘资产清单导出配置 在管理员在管理控制台中删除云端硬盘资产清单导出配置时记录。管理员开始删除配置与实际删除配置之间可能会有延迟。

第 5 步:分析云端硬盘资产清单数据集

您可以直接在 BigQuery 中分析数据。如需大致了解,请参阅 BigQuery 分析概览 | Google Cloud。如需了解详情,请参阅 BigQuery 中云端硬盘资产清单导出操作的架构和查询示例

排查缺少导出数据和错误消息的问题

如果您在管理控制台中保存配置后,在 BigQuery 中未看到云端硬盘资产清单导出数据,请查看以下问题及其解决方法。

错误消息 解决方法
BigQuery 数据集不存在 如果启用云端硬盘资产清单导出功能后,您最初指定用于写入报告的数据集已被删除,您将收到此错误。将数据集 ID 替换为现有数据集的 ID。
BigQuery 项目不存在 如果启用云端硬盘资产清单导出功能后,您最初指定用于写入报告的 BigQuery 项目已被删除,您会收到此错误。设置要将报告写入到的新的 BigQuery 项目和数据集。
已移除云端硬盘资产清单导出服务账号对 BigQuery 数据集的权限 在 Google Cloud 控制台中,确认该服务账号对数据集具有 Editor 访问权限。
已移除云端硬盘资产清单导出服务账号对 BigQuery 项目的权限 在 Google Cloud 控制台中,确认该服务账号对项目具有 BigQuery.jobUser 访问权限。
为项目设置结算

如果您降级了订阅,则可能无法再导出云端硬盘资产清单。在管理控制台中,依次点击菜单 > 结算 > 订阅,然后确认您的订阅属于以下订阅之一:

支持此功能的版本:一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

您改用支持云端硬盘资产清单导出的版本后,报告最长可能需要 2 周才能导出。

您还必须为与云端硬盘资产清单导出关联的 Google Cloud 项目设置结算,因为将云端硬盘资产清单导出到 BigQuery 需要付费。确保已为该项目启用结算功能。

已知限制

  • 云端硬盘资产清单导出可能不包括未声明的 Jamboard 文件或使用 Google Vids 创建的视频。

常见问题解答

将云端硬盘资产清单导出到 BigQuery 是否会产生费用?

可以。存储费用会计入 BigQuery 项目。 如需了解详情,请查看 BigQuery 结算账号的价格详情。您可以使用 Google Cloud 价格计算器估算存储费用。100 万个文件的元数据在 BigQuery 中占用大约 1.5 GB 的物理存储空间。

云端硬盘资产清单导出是否在《Google Workspace 服务条款》涵盖范围内?

否。云端硬盘资产清单导出受《Google Cloud Platform 服务条款》或您在使用 Google Cloud Platform 时须遵守的协议的约束。

云端硬盘资产清单导出文件中包含哪些数据?

如需了解详情,请参阅架构

我可以更改 BigQuery 项目 ID 或数据集吗?

可以。请注意,您的新导出内容和更改之前的最后一次导出内容将位于不同的位置。

我可以导出到用于将服务日志导出到 BigQuery 的同一 BigQuery 项目吗?

可以。如果您还设置了将服务日志导出至 BigQuery 的功能,则可以使用相同的项目 ID 和数据集。您的云端硬盘资产清单将转移到项目中的其他表。

我可以停止将云端硬盘资产清单导出到 BigQuery 吗?

可以。如果您不再想将云端硬盘资产清单导出到 BigQuery,可以删除管理控制台中的云端硬盘资产清单配置。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后数据集成(对于教育机构管理员,请点击 BigQuery Export,这会打开“数据集成”页面)。

    需要拥有“报告”管理员权限。

  2. 点击云端硬盘资产清单
  3. 点击 BigQuery 项目 ID,然后选择项目。
  4. 点击删除
  5. 再次点击删除进行确认。

您的云端硬盘资产清单将不再导出。数据集会与现有数据一起保留在项目中,但数据会在过期后被删除。

如需重新开始执行云端硬盘资产清单导出操作,请添加项目 ID。

为什么会向我的 BigQuery 项目和数据集添加服务账号?

在 BigQuery 项目和数据集的权限列表中,您可能会看到一个名为 id@gcp-sa-statefulreporting.iam.gserviceaccount.com 的服务账号,以及另一个名为 drive-inventory-reporting@system.gserviceaccount.com 的服务账号。在 Beta 版期间,一个服务账号用于从云端硬盘读取元数据,另一个服务账号用于将云端硬盘资产清单写入 BigQuery。

为什么我在尝试设置云端硬盘资产清单导出时收到服务账号错误?

如果组织政策阻止服务账号 id@gcp-sa-statefulreporting.iam.gserviceaccount.comdrive-inventory-reporting@system.gserviceaccount.com 加入权限列表,则必须将这些账号的网域列入许可名单。

为什么我在尝试设置云端硬盘资产清单导出时收到权限错误?

您必须拥有对项目的查看和管理允许政策权限,才能设置云端硬盘资产清单导出。在 Google Cloud 控制台中,前往 IAM 页面,然后将 Project IAM Admin (roles/resourcemanager.projectIamAdmin) 角色分配给您的 Google Workspace 管理员账号。

云端硬盘资产清单导出是否支持数据区域化?

可以。如果您在管理控制台中设置了数据区域政策,则您的数据会在该区域中进行处理。不过,BigQuery 导出内容会写入您在创建数据集时指定的区域。如需了解详情,请参阅 BigQuery 位置