Usar a Proteção de dados sensíveis com o Cloud Data Fusion

Neste guia, explicamos como usar a Proteção de dados sensíveis com o Cloud Data Fusion.

O Cloud Data Fusion oferece um plug-in da Proteção de dados sensíveis que fornece três transformações que podem filtrar, editar ou descriptografar seus dados sensíveis:

• A transformação do filtro de PIIs permite filtrar registros confidenciais de um fluxo de dados de entrada.

• A transformação "Redact" permite transformar dados confidenciais, como mascarar os dados ou criptografá-los.

• A transformação "Decrypt" permite descriptografar dados confidenciais que foram criptografados anteriormente usando a transformação Redact:

Custos

Neste documento, você usará os seguintes componentes faturáveis do Google Cloud:

• Cloud Data Fusion
• Sensitive Data Protection

Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços. Novos usuários do Google Cloud podem estar qualificados para uma avaliação gratuita.

Antes de começar

1. No console do Google Cloud, acesse a página do seletor de projetos e selecione ou crie um projeto.

   Acessar o seletor de projetos

2. Ative a API Cloud Data Fusion para o projeto.

   Ative a API do Cloud Data Fusion.

3. Ative a API DLP (parte da Proteção de dados sensíveis) para o projeto.

   Ative a API DLP

4. Crie uma instância do Cloud Data Fusion.

Conceder permissões de Proteção de dados sensíveis

1. No console do Google Cloud, abra a página IAM.

   Acessar o IAM

2. Na tabela de permissões, selecione uma das seguintes contas de serviço na coluna Principal:

   1. Para ter permissão de acesso aos recursos no momento da execução, selecione a conta de serviço usada pelo cluster do Dataproc. O padrão é a conta de serviço do Compute Engine, que não é recomendada por motivos de segurança.

   2. Para conceder permissão aos recursos ao usar o Wrangler ou a visualização no Cloud Data Fusion (não no momento da execução), selecione a conta de serviço que corresponde ao formato: service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com.

   

3. Clique no ícone de lápis à direita da conta de serviço.

4. Clique em Adicionar outro papel.

5. Clique na lista suspensa exibida.

6. Use a barra de pesquisa para pesquisar e selecione Administrador do DLP.

   

7. Clique em Save. Verifique se o Administrador do DLP aparece na coluna Papel.

   

Implantar o plug-in de proteção de dados sensíveis

1. Acesse sua instância:

   1. No console do Google Cloud, acesse a página do Cloud Data Fusion.

   2. Para abrir a instância no Cloud Data Fusion Studio, clique em Instâncias e em Ver instância.

      Acesse "Instâncias"

2. Na IU da Web do Cloud Data Fusion, clique em Hub no canto superior direito.

3. Clique no plug-in Prevenção contra perda de dados.

4. Clique em Deploy.

5. Clique em Finish.

6. Clique em Criar um pipeline.

   

Usar a transformação PII Filter

Essa transformação separa registros confidenciais de registros não confidenciais. Um registro é considerado confidencial se corresponder aos critérios definidos em um modelo de proteção de dados sensíveis. Por exemplo, ao criar seu modelo, é possível definir dados confidenciais, como informações de cartão de crédito ou CPF.

1. Crie um modelo de inspeção de proteção de dados sensíveis.

2. Abra o pipeline no Cloud Data Fusion e clique em Studio > Transform.

   

3. Clique na transformação PII Filter.

4. Mantenha o ponteiro sobre o nó PII Filter e clique em Propriedades.

5. Em Filtrar, escolha se você quer filtrar registros ou campos.

   Em conformidade com os limites da Proteção de dados sensíveis, se um registro exceder 0,5 MB, o pipeline do Cloud Data Fusion vai falhar. Para evitar essa falha, filtre por campo em vez de registro.

6. Em ID do modelo, insira o ID do modelo de proteção de dados sensíveis que você criou.

7. Em Manipulação de erros, defina como prosseguir quando o pipeline encontrar dados confidenciais. Escolha uma das seguintes opções de tratamento de erros:

   • Interromper pipeline: interrompe o pipeline assim que um erro é encontrado.
   • Ignorar registro: pula o registro que causou o erro. O pipeline continua em execução e nenhum erro é relatado.
   • Enviar para erro: envia erros para a porta de erro. O pipeline continua em execução.

8. Clique no botão X.

Usar a transformação de edição

Essa transformação identifica registros confidenciais no fluxo de entrada e aplica transformações definidas a esses registros. Um registro é considerado sensível se corresponder a filtros predefinidos de Proteção de Dados Sensíveis escolhidos ou a um modelo personalizado definido por você.

1. Na página Studio da IU da Web do Cloud Data Fusion, clique para expandir o menu Transformar.

   

2. Clique na transformação Editar.

3. Mantenha o ponteiro sobre o nó Editar e clique em Propriedades.

4. Escolha se você quer aplicar transformações a filtros predefinidos ou se quer criar seus próprios filtros.

   Não é possível combinar essas duas opções. É possível usar filtros predefinidos OU criar um modelo personalizado.

   Filtros predefinidos

   Para aplicar transformações a filtros predefinidos, deixe o Modelo personalizado definido como Não e, em Correspondência, defina uma regra:

   1. Depois de Aplicar, clique na lista suspensa e escolha uma transformação. Saiba mais sobre as transformações disponíveis na seção Descrição da guia Documentação do plug-in.

   2. Depois de ativar, clique no menu suspenso e escolha uma categoria, que é um conjunto de filtros predefinidos de proteção de dados sensíveis agrupados por tipo. Para a lista completa de categorias fornecidas e quais filtros elas contêm, consulte a seção Mapeamento de filtro da DLP na guia Documentação do plug-in.

   Para definir várias regras de correspondência, clique no botão +.

   

   Modelo personalizado

   Para aplicar transformações de acordo com um modelo personalizado, defina o Modelo personalizado como Sim.

   1. Crie um modelo personalizado de proteção de dados sensíveis.

   2. De volta à IU da Web do Cloud Data Fusion, no menu de propriedades de edição, em ID do modelo, insira o ID do modelo personalizado que você criou.

   

5. Clique no botão X.

Usar a transformação Decrypt

Essa transformação identifica registros que foram criptografados usando a proteção de dados sensíveis no fluxo de entrada e aplica a descriptografia. Somente os registros criptografados com um algoritmo reversível, como criptografia de preservação de formato ou criptografia determinística, podem ser descriptografados.

1. Na página Studio da IU da Web do Cloud Data Fusion, clique para expandir o menu Transformar.

   

2. Clique na transformação Decrypt.

3. Mantenha o ponteiro sobre o nó Decrypt e clique em Propriedades.

4. Digite os mesmos valores usados para configurar o plug-in Redact que criptografou esses dados. As propriedades desse plug-in são idênticas às do plug-in Redact.

   

5. Clique no botão X.

A seguir

• Siga um tutorial para editar dados confidenciais do usuário.
• Saiba mais sobre a Proteção de Dados Sensíveis.