Usar a proteção de dados sensíveis com o Cloud Data Fusion

Neste guia, explicamos como usar a proteção de dados sensíveis com o Cloud Data Fusion.

O Cloud Data Fusion oferece um plugin de proteção de dados sensíveis com três transformações que podem filtrar, editar ou descriptografar os dados confidenciais:

• A transformação do filtro de PIIs permite filtrar registros confidenciais de um fluxo de dados de entrada.

• A transformação "Redact" permite transformar dados confidenciais, como mascarar os dados ou criptografá-los.

• A transformação "Decrypt" permite decrypt dados confidenciais que foram criptografados anteriormente usando a transformação Redact:

Custos

Neste documento, você usará os seguintes componentes faturáveis do Google Cloud:

• Cloud Data Fusion
• Proteção de dados sensíveis

Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços. Novos usuários do Google Cloud podem estar qualificados para uma avaliação gratuita.

Antes de começar

1. No console do Google Cloud, acesse a página do seletor de projetos e selecione ou crie um projeto.

   Acessar o seletor de projetos

2. Ative a API Cloud Data Fusion para o projeto.

   Ative a API do Cloud Data Fusion.

3. Ative a API DLP (parte da proteção de dados sensíveis) no seu projeto.

   Ativar a API DLP

4. Crie uma instância do Cloud Data Fusion.

Conceder permissões de proteção de dados sensíveis

1. No console do Google Cloud, abra a página IAM.

   Acessar o IAM

2. Na tabela de permissões, selecione uma das seguintes contas de serviço na coluna Principal:

   1. Para permissão aos recursos no ambiente de execução, selecione a conta de serviço usada pelo cluster do Dataproc. O padrão é a conta de serviço do Compute Engine, o que não é recomendado por motivos de segurança

   2. Para permissão a recursos ao usar o Wrangler ou a visualização no Cloud Data Fusion (não no ambiente de execução), selecione a conta de serviço que corresponde ao formato: service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com.

   

3. Clique no ícone de lápis à direita da conta de serviço.

4. Clique em Adicionar outro papel.

5. Clique na lista suspensa exibida.

6. Use a barra de pesquisa para pesquisar e selecione Administrador de DLP.

   

7. Clique em Save. Verifique se o Administrador do DLP aparece na coluna Papel.

   

Implante o plug-in de proteção de dados sensíveis

1. Acesse sua instância:

   1. No console do Google Cloud, acesse a página do Cloud Data Fusion.

   2. Para abrir a instância na interface da Web do Cloud Data Fusion, clique em Instâncias e depois em Ver instância.

      Acesse "Instâncias"

2. Na IU da Web do Cloud Data Fusion, clique em Hub no canto superior direito.

3. Clique no plug-in Prevenção contra perda de dados.

4. Selecione Implantar.

5. Clique em Finish.

6. Clique em Criar um pipeline.

   

Usar a transformação PII Filter

Essa transformação separa registros confidenciais de registros não confidenciais. Um registro é considerado confidencial quando corresponde aos critérios definidos em um modelo de proteção de dados sensíveis. Por exemplo, ao criar seu modelo, é possível definir dados confidenciais, como informações de cartão de crédito ou CPF.

1. Crie um modelo de inspeção de proteção de dados sensíveis.

2. Abra o pipeline no Cloud Data Fusion e clique em Studio > Transformar.

   

3. Clique na transformação PII Filter.

4. Mantenha o ponteiro sobre o nó PII Filter e clique em Propriedades.

5. Em Filtrar, escolha se você quer filtrar registros ou campos.

   Em conformidade com os limites de proteção de dados sensíveis, se um registro exceder 0,5 MB, o pipeline do Cloud Data Fusion falhará. Para evitar essa falha, filtre por campo em vez de registro.

6. Em ID do modelo, insira o ID do modelo de proteção de dados sensíveis que você criou.

7. Em Manipulação de erros, defina como prosseguir quando o pipeline encontrar dados confidenciais. Escolha uma das seguintes opções de tratamento de erros:

   • Interromper pipeline: interrompe o pipeline assim que um erro é encontrado.
   • Ignorar registro: pula o registro que causou o erro. O pipeline continua em execução e nenhum erro é relatado.
   • Enviar para erro: envia erros para a porta de erro. O pipeline continua em execução.

8. Clique no botão X.

Usar a transformação de edição

Essa transformação identifica registros confidenciais no fluxo de entrada e aplica transformações definidas a esses registros. Um registro é considerado confidencial quando corresponde aos filtros predefinidos de proteção de dados sensíveis selecionados ou a um modelo personalizado definido por você.

1. Na página Studio da IU da Web do Cloud Data Fusion, clique para expandir o menu Transformar.

   

2. Clique na transformação Editar.

3. Mantenha o ponteiro sobre o nó Editar e clique em Propriedades.

4. Escolha se você quer aplicar transformações a filtros predefinidos ou se quer criar as suas próprias.

   Não é possível combinar essas duas opções. É possível usar filtros predefinidos OU criar um modelo personalizado.

   Filtros predefinidos

   Para aplicar transformações a filtros predefinidos, deixe o Modelo personalizado definido como Não e, em Correspondência, defina uma regra:

   1. Depois de Aplicar, clique na lista suspensa e escolha uma transformação. Saiba mais sobre as transformações disponíveis na seção Descrição da guia Documentação do plug-in.

   2. Depois de, clique no menu suspenso e escolha uma categoria, que é um conjunto de filtros predefinidos de proteção de dados sensíveis agrupados por tipo. Para a lista completa de categorias fornecidas e quais filtros elas contêm, consulte a seção Mapeamento de filtro da DLP na guia Documentação do plug-in.

   Para definir várias regras de correspondência, clique no botão +.

   

   Modelo personalizado

   Para aplicar transformações de acordo com um modelo personalizado, defina o Modelo personalizado como Sim.

   1. Crie um modelo personalizado de proteção de dados sensíveis.

   2. De volta à IU da Web do Cloud Data Fusion, no menu de propriedades de edição, em ID do modelo, insira o ID do modelo personalizado que você criou.

   

5. Clique no botão X.

Usar a transformação Decrypt

Essa transformação identifica registros que foram criptografados com proteção de dados sensíveis no fluxo de entrada e aplica a descriptografia. Somente os registros que foram criptografados usando um algoritmo reversível, como criptografia com preservação de formato ou criptografia determinística (links em inglês), podem ser descriptografados.

1. Na página Studio da IU da Web do Cloud Data Fusion, clique para expandir o menu Transformar.

   

2. Clique na transformação Decrypt.

3. Mantenha o ponteiro sobre o nó Decrypt e clique em Propriedades.

4. Insira os mesmos valores usados para configurar o plug-in Redact para criptografar esses dados. As propriedades desse plug-in são idênticas às do plug-in Redact.

   

5. Clique no botão X.

A seguir

• Siga um tutorial para editar dados confidenciais do usuário.
• Leia mais sobre a proteção de dados sensíveis.