Usar Protección de Datos Sensibles con Cloud Data Fusion

En esta guía se explica cómo usar Protección de Datos Sensibles con Cloud Data Fusion.

Cloud Data Fusion proporciona un complemento de Protección de Datos Sensibles que ofrece tres transformaciones que pueden filtrar, ocultar o descifrar tus datos sensibles:

  • La transformación Filtro de información personal te permite filtrar registros sensibles de un flujo de datos de entrada.

  • La transformación Ocultar te permite transformar datos sensibles, como enmascararlos o cifrarlos.

  • La transformación Descifrar te permite descifrar datos sensibles que se hayan encriptado previamente con la transformación Ocultar.

Costes

En este documento, se utilizan los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costes basada en el uso previsto, utiliza la calculadora de precios.

Los usuarios nuevos Google Cloud pueden disfrutar de una prueba gratuita.

Antes de empezar

  1. En la Google Cloud consola, ve a la página del selector de proyectos y selecciona o crea un proyecto.

    Ve al selector de proyectos

  2. Habilita la API de Cloud Data Fusion en tu proyecto.

    Habilitar la API Cloud Data Fusion

  3. Habilita la API DLP (que forma parte de Protección de Datos Sensibles) en tu proyecto.

    Habilitar la API DLP

  4. Crea una instancia de Cloud Data Fusion.

Conceder permisos de Protección de Datos Sensibles

  1. En la Google Cloud consola, ve a la página Gestión de identidades y accesos.

    Ir a IAM

  2. En la tabla de permisos, seleccione una de las siguientes cuentas de servicio en la columna Principal:

    1. Para obtener permiso para acceder a los recursos en el tiempo de ejecución, selecciona la cuenta de servicio que usa tu clúster de Dataproc. El valor predeterminado es la cuenta de servicio de Compute Engine, que no se recomienda por motivos de seguridad.

    2. Para obtener permiso para acceder a los recursos al usar Wrangler o Vista previa en Cloud Data Fusion (no en el tiempo de ejecución), selecciona la cuenta de servicio que coincida con el formato: service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com.

  3. Haz clic en el icono de lápiz situado a la derecha de la cuenta de servicio.

  4. Haz clic en Añadir otro rol.

  5. Haz clic en el menú desplegable que aparece.

  6. Usa la barra de búsqueda para buscar y, a continuación, selecciona Administrador de DLP.

  7. Haz clic en Guardar. Comprueba que Administrador de DLP aparezca en la columna Rol.

Implementar el complemento Protección de Datos Sensibles

  1. Ve a tu instancia:

    1. En la Google Cloud consola, ve a la página de Cloud Data Fusion.

    2. Para abrir la instancia en Cloud Data Fusion Studio, haga clic en Instancias y, a continuación, en Ver instancia.

      Ir a Instancias

  2. En la interfaz de usuario web de Cloud Data Fusion, haz clic en Hub (Centro) en la parte superior derecha.

  3. Haz clic en el complemento Prevención de la pérdida de datos.

  4. Haz clic en Desplegar.

  5. Haz clic en Finalizar.

  6. Haz clic en Crear una canalización.

Usar la transformación de filtro de información personal

Esta transformación separa los registros sensibles de los no sensibles. Un registro se considera sensible si cumple los criterios que definas en una plantilla de Protección de Datos Sensibles. Por ejemplo, al crear tu plantilla, puedes definir los datos sensibles como información de tarjetas de crédito o números de la seguridad social.

  1. Crea una plantilla de inspección de Protección de Datos Sensibles.

  2. Abre tu flujo de procesamiento en Cloud Data Fusion y haz clic en Studio > Transform (Transformar).

  3. Haga clic en la transformación Filtro de información personal.

  4. Mantén el puntero sobre el nodo PII Filter (Filtro de información personal identificable) y haz clic en Properties (Propiedades).

  5. En Filtrar por, elige si quieres filtrar registros o campos.

    De acuerdo con los límites de Protección de Datos Sensibles, si un registro supera los 0,5 MB, tu flujo de procesamiento de Cloud Data Fusion fallará. Para evitar este error, filtra por campo en lugar de por registro.

  6. En ID de plantilla, introduce el ID de la plantilla de Protección de Datos Sensibles que has creado.

  7. En Gestión de errores, define cómo proceder cuando tu canalización detecte datos sensibles. Elige una de las siguientes opciones de gestión de errores:

    • Detener flujo de procesamiento: detiene el flujo de procesamiento en cuanto se produce un error.
    • Omitir registro: omite el registro que ha provocado el error. La canalización sigue ejecutándose y no se informa de ningún error.
    • Enviar a error: envía los errores al puerto de errores. El flujo de trabajo sigue ejecutándose.

  8. Haga clic en el botón X.

Usar la transformación Redactar

Esta transformación identifica los registros sensibles del flujo de entrada y aplica las transformaciones que definas a esos registros. Un registro se considera sensible si coincide con los filtros predefinidos de Protección de Datos Sensibles que hayas elegido o con una plantilla personalizada que hayas definido.

  1. En la página Studio de la interfaz web de Cloud Data Fusion, haga clic para desplegar el menú Transform (Transformar).

  2. Haz clic en la transformación Redact.

  3. Coloca el puntero sobre el nodo Redactar y haz clic en Propiedades.

  4. Elige si quieres aplicar transformaciones a filtros predefinidos o si prefieres crear los tuyos.

    No puedes combinar estas dos opciones. Puede usar filtros predefinidos o crear una plantilla personalizada.

    Filtros predefinidos

    Para aplicar transformaciones a filtros predefinidos, deje Plantilla personalizada en No y, en Coincidencia, defina una regla:

    1. Después de Aplicar, haz clic en el desplegable y elige una transformación. Consulta más información sobre las transformaciones disponibles en la sección Descripción de la pestaña Documentación del complemento.

    2. En Activado, haz clic en el menú desplegable y elige una categoría, que es un conjunto de filtros de protección de datos sensibles predefinidos agrupados por tipo. Para ver la lista completa de categorías proporcionadas y los filtros que contienen, consulta la sección Asignación de filtros de DLP de la pestaña Documentación del complemento.

    Para definir varias reglas de coincidencia, haz clic en el botón +.

    Plantilla personalizada

    Para aplicar transformaciones según una plantilla personalizada, defina Plantilla personalizada como .

    1. Crea una plantilla de Protección de Datos Sensibles personalizada.

    2. Vuelve a la interfaz web de Cloud Data Fusion y, en el menú Redact properties (Redactar propiedades), en Template ID (ID de plantilla), introduce el ID de la plantilla personalizada que has creado.

  5. Haga clic en el botón X.

Usar la transformación Descifrar

Esta transformación identifica los registros que se han cifrado con Protección de Datos Sensibles en el flujo de entrada y aplica el descifrado. Solo se pueden descifrar los registros que se hayan cifrado con un algoritmo reversible, como Encriptado con conservación del formato o Encriptado determinista.

  1. En la página Studio de la interfaz web de Cloud Data Fusion, haga clic para desplegar el menú Transform (Transformar).

  2. Haz clic en la transformación Descifrar.

  3. Coloca el cursor sobre el nodo Descifrar y haz clic en Propiedades.

  4. Introduzca los mismos valores que se usaron para configurar el complemento Redact que cifró estos datos. Las propiedades de este complemento son idénticas a las del complemento Redact.

  5. Haga clic en el botón X.

Siguientes pasos