Modèle Masquage/Tokenisation de données de Cloud Storage vers BigQuery (à l'aide de Cloud DLP)

Le modèle Masquage/Tokenisation de données de Cloud Storage vers BigQuery utilise le protection des données sensibles et crée un pipeline de streaming qui effectue les étapes suivantes :

  1. Lit les fichiers CSV à partir d'un bucket Cloud Storage.
  2. Appelle l'API Cloud Data Loss Prevention (partie intégrante de la protection des données sensibles) pour l'anonymisation.
  3. Écrit les données anonymisées dans la table BigQuery spécifiée.

Le modèle accepte l'utilisation d'un modèle d'inspection Sensitive Data Protection et d'un modèle de suppression d'identification Sensitive Data Protection. Par conséquent, le modèle accepte les deux tâches suivantes :

  • Inspecter les données pour identifier les informations potentiellement sensibles et anonymiser les données sensibles détectées.
  • Anonymiser les données structurées lorsque les colonnes sont spécifiées pour être anonymisées et qu'aucune inspection n'est nécessaire.

Ce modèle n'est pas compatible avec un chemin régional pour l'emplacement du modèle d'anonymisation. Seul un chemin global est accepté.

Conditions requises pour ce pipeline

  • Les données d'entrée à tokeniser doivent exister.
  • Les modèles Sensitive Data Protection doivent exister (par exemple, DeidentifyTemplate et InspectTemplate). Pour en savoir plus, consultez la page Modèles de protection des données sensibles.
  • L'ensemble de données BigQuery doit exister.

Paramètres de modèle

Paramètres obligatoires

  • inputFilePattern : Fichiers CSV à partir desquels lire les enregistrements de données d'entrée. Les caractères génériques sont également acceptés. Par exemple : gs://mybucket/my_csv_filename.csv ou gs://mybucket/file-*.csv.
  • deidentifyTemplateName : modèle de suppression d'identification Sensitive Data Protection à utiliser pour les requêtes API, spécifié à l'aide du schéma projects/<PROJECT_ID>/deidentifyTemplates/<TEMPLATE_ID>. (Exemple : projects/your-project-id/locations/global/deidentifyTemplates/generated_template_id).
  • datasetName : ensemble de données BigQuery à utiliser lors de l'envoi de résultats tokenisés. L'ensemble de données doit exister avant l'exécution.
  • dlpProjectId : ID du projet Google Cloud propriétaire de la ressource API DLP. Il peut s'agir du projet propriétaire des modèles Sensitive Data Protection ou d'un autre projet.

Paramètres facultatifs

  • inspectTemplateName : modèle Sensitive Data Protection à utiliser pour les requêtes d'API, spécifié à l'aide du schéma projects/<PROJECT_ID>/identifyTemplates/<TEMPLATE_ID>. (Exemple : projects/your-project-id/locations/global/inspectTemplates/generated_template_id).
  • batchSize : taille du fragment ou du lot à utiliser pour envoyer des données à inspecter et à détokeniser. Pour un fichier CSV, la valeur de batchSize correspond au nombre de lignes dans un lot. Déterminez la taille du lot en fonction de la taille des enregistrements et de la taille du fichier. L'API DLP limite la taille de la charge utile à 524 Ko par appel d'API.

Exécuter le modèle

Console

  1. Accédez à la page Dataflow Créer un job à partir d'un modèle.
  2. Accéder à la page Créer un job à partir d'un modèle
  3. Dans le champ Nom du job, saisissez un nom de job unique.
  4. Facultatif : pour Point de terminaison régional, sélectionnez une valeur dans le menu déroulant. La région par défaut est us-central1.

    Pour obtenir la liste des régions dans lesquelles vous pouvez exécuter un job Dataflow, consultez la page Emplacements Dataflow.

  5. Dans le menu déroulant Modèle Dataflow, sélectionnez the Data Masking/Tokenization from Cloud Storage to BigQuery (using Cloud DLP) template.
  6. Dans les champs fournis, saisissez vos valeurs de paramètres.
  7. Cliquez sur Run Job (Exécuter la tâche).

gcloud

Dans le shell ou le terminal, exécutez le modèle :

gcloud dataflow jobs run JOB_NAME \
    --gcs-location gs://dataflow-templates-REGION_NAME/VERSION/Stream_DLP_GCS_Text_to_BigQuery \
    --region REGION_NAME \
    --staging-location STAGING_LOCATION \
    --parameters \
inputFilePattern=INPUT_DATA,\
datasetName=DATASET_NAME,\
batchSize=BATCH_SIZE_VALUE,\
dlpProjectId=DLP_API_PROJECT_ID,\
deidentifyTemplateName=projects/TEMPLATE_PROJECT_ID/deidentifyTemplates/DEIDENTIFY_TEMPLATE,\
inspectTemplateName=projects/TEMPLATE_PROJECT_ID/identifyTemplates/INSPECT_TEMPLATE_NUMBER

Remplacez les éléments suivants :

  • DLP_API_PROJECT_ID : ID de votre projet dans l'API DLP
  • JOB_NAME : nom de job unique de votre choix
  • REGION_NAME : région dans laquelle vous souhaitez déployer votre job Dataflow, par exemple us-central1
  • VERSION : version du modèle que vous souhaitez utiliser

    Vous pouvez utiliser les valeurs suivantes :

  • STAGING_LOCATION : emplacement des fichiers locaux de préproduction (par exemple, gs://your-bucket/staging)
  • INPUT_DATA : chemin d'accès de votre fichier d'entrée
  • DEIDENTIFY_TEMPLATE : numéro de modèle de suppression de l'identification des données sensibles
  • DATASET_NAME : nom de l'ensemble de données BigQuery
  • INSPECT_TEMPLATE_NUMBER : numéro du modèle d'inspection de protection des données sensibles
  • BATCH_SIZE_VALUE : taille du lot (nombre de lignes par API pour les fichiers CSV)

REST

Pour exécuter le modèle à l'aide de l'API REST, envoyez une requête HTTP POST. Pour en savoir plus sur l'API, ses autorisations et leurs champs d'application, consultez la section projects.templates.launch.

POST https://dataflow.googleapis.com/v1b3/projects/PROJECT_ID/locations/LOCATION/templates:launch?gcsPath=gs://dataflow-templates-LOCATION/VERSION/Stream_DLP_GCS_Text_to_BigQuery
{
   "jobName": "JOB_NAME",
   "environment": {
       "ipConfiguration": "WORKER_IP_UNSPECIFIED",
       "additionalExperiments": []
   },
   "parameters": {
      "inputFilePattern":INPUT_DATA,
      "datasetName": "DATASET_NAME",
      "batchSize": "BATCH_SIZE_VALUE",
      "dlpProjectId": "DLP_API_PROJECT_ID",
      "deidentifyTemplateName": "projects/TEMPLATE_PROJECT_ID/deidentifyTemplates/DEIDENTIFY_TEMPLATE",
      "inspectTemplateName": "projects/TEMPLATE_PROJECT_ID/identifyTemplates/INSPECT_TEMPLATE_NUMBER"
   }
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud dans lequel vous souhaitez exécuter le job Dataflow
  • DLP_API_PROJECT_ID : ID de votre projet dans l'API DLP
  • JOB_NAME : nom de job unique de votre choix
  • LOCATION : région dans laquelle vous souhaitez déployer votre job Dataflow, par exemple us-central1
  • VERSION : version du modèle que vous souhaitez utiliser

    Vous pouvez utiliser les valeurs suivantes :

  • STAGING_LOCATION : emplacement des fichiers locaux de préproduction (par exemple, gs://your-bucket/staging)
  • INPUT_DATA : chemin d'accès de votre fichier d'entrée
  • DEIDENTIFY_TEMPLATE : numéro de modèle de suppression de l'identification des données sensibles
  • DATASET_NAME : nom de l'ensemble de données BigQuery
  • INSPECT_TEMPLATE_NUMBER : numéro du modèle d'inspection de protection des données sensibles
  • BATCH_SIZE_VALUE : taille du lot (nombre de lignes par API pour les fichiers CSV)

Étapes suivantes