Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Модуль контроля данных (DSPM)

Статья создана
Обновлена 6 марта 2026 г.

Модуль контроля данных или DSPM (Data Security Posture Management) — это инструмент, помогающий оперативно обнаруживать чувствительную информацию, сохраненную в бакетах Yandex Object Storage и на дисках в Яндекс 360. Это позволит своевременно настраивать политики доступа, обезличивать данные и принимать другие меры защиты.

Примечание

Функциональность сканирования дисков в Яндекс 360 находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

Анализ данных

Одна из ключевых возможностей DSPM — это анализ всех данных, хранящихся в бакетах в заданном окружении. Анализ запускается автоматически при создании окружения, сканируются все данные в бакетах.

С помощью анализа вы можете точнее определять, в каких ресурсах могут находиться чувствительные данные, и получить готовый источник данных для последующего подробного сканирования. Поиск чувствительных данных при этом занимает меньше времени, чем сканирование источника данных, созданного вручную.

Сканирование на наличие чувствительной информации

DSPM находит чувствительную информацию в бакетах с помощью сканирования источников данных. Сканирование можно выполнять как однократно, так и по заданному расписанию.

Сканирование на наличие чувствительной информации выполняется от имени сервисного аккаунта.

Чтобы создать сканирование, пользователь должен обладать ролью dspm.editor на каталог, заданный в настройках Security Deck в качестве хранилища по умолчанию, а также ролью iam.serviceAccounts.user на сервисный аккаунт, от имени которого будет выполняться сканирование.

Важно

Для выполнения сканирования сервисному аккаунту должна быть назначена роль dspm.worker на все сканируемые бакеты. Если бакеты зашифрованы, сервисному аккаунту также необходима роль kms.keys.decrypter на соответствующие ключи шифрования Yandex Key Management Service.

Прежде чем начать сканирование, необходимо выбрать источник данных и задать категории данных для поиска.

Источник данных

Источник данных содержит настройки и информацию о ресурсах, в которых будет выполняться сканирование:

При добавлении в источник данных каталогов и облаков в сканирование попадут бакеты выбранных типов, имеющиеся в выбранных облаках и/или каталогах. При этом будут сканироваться не только те бакеты, которые существуют в выбранных облаках и каталогах в момент создания источника данных, но и бакеты, которые в них могут появиться позднее — к моменту выполнения сканирования.

Для источника данных вы можете задать следующие области сканирования:

  • Все файлы — чтобы при сканировании проверялись все файлы, сохраненные в бакетах.

  • DOC / TXT — чтобы при сканировании проверялись текстовые файлы с расширениями .doc, .docx и .txt.

  • XLS / CSV — чтобы при сканировании проверялись табличные файлы с расширениями .xls, .xlsx и .csv.

  • PPT — чтобы при сканировании проверялись файлы презентаций с расширениями .ppt и .pptx.

  • PDF — чтобы при сканировании проверялись документы с расширением .pdf.

  • HTML / XML — чтобы при сканировании проверялись файлы с расширениями .html и .xml.

  • Изображения — чтобы при сканировании проверялись изображения с расширениями .jpg, .jpeg, .png, .gif, .webp и .svg.

  • Свой фильтр — чтобы при сканировании проверялись файлы, имена которых соответствуют или не соответствуют заданным шаблонам:

    • Имя файла содержит — задайте шаблон, которому должны соответствовать имена файлов, проверяемые при сканировании.
    • Имя файла не содержит — задайте шаблон, которому должны соответствовать имена файлов, игнорируемые при сканировании.

    Шаблоны задаются в форме регулярных выражений с использованием синтаксиса RE2. Вы можете задать шаблоны в обоих полях, в этом случае выборка файлов при сканировании будет осуществляться с логикой И.

Вы можете выбрать одновременно несколько фильтров, при этом фильтры будут применяться с логикой ИЛИ.

Вы можете добавить в один источник данных одновременно несколько бакетов, каталогов и/или облаков, а также создать в источнике данных одновременно несколько групп ресурсов с разными настройками области сканирования. Вы также можете добавить один бакет одновременно в несколько источников данных с разными настройками области сканирования.

Категории данных

При создании нового сканирования вы можете указать категории данных для поиска отдельно в тексте и на изображениях.

Вы можете выбрать как все доступные категории одновременно, так и любую их комбинацию.

Доступные категории данных для сканирования:

  • В тексте:
    • Персональные данные — ФИО, адреса электронной почты, номера телефонов, СНИЛС.
    • Финансовые данные — данные банковских карт.
    • Секреты — облачные ключи доступа, пароли, токены, SSH-ключи и т. п.
  • На изображениях:
    • Персональные данные — ФИО, адреса электронной почты, номера телефонов, СНИЛС.
    • Финансовые данные — данные банковских карт.
    • Медицинские данные — данные медицинских документов и снимков.
    • Прочее — данные личных документов: военных билетов, пенсионных удостоверений, документов об образовании и т.п.

Для того чтобы создавать источники данных, создавать и запускать сканирования, а также просматривать результаты сканирования, пользователю должны быть назначены соответствующие роли.

См. также

Предыдущая
Стандарт по защите облачной инфраструктуры Yandex Cloud
Следующая
Контроль Kubernetes® (KSPM)