Acciones

Una acción de Cloud Data Loss Prevention (DLP) se genera después de que un trabajo de DLP se completa con de forma correcta o, en el caso de los correos electrónicos, si se produce un error. Por ejemplo, puedes guardar los resultados en una tabla de BigQuery, publicar una notificación en un tema de Pub/Sub o enviar un correo electrónico cuando un trabajo finaliza correctamente o se detiene en error.

Acciones disponibles

Cuando ejecutas un trabajo de Cloud Data Loss Prevention (DLP), se guarda de forma predeterminada un resumen de sus resultados en Cloud DLP. Puedes ver este resumen mediante Cloud DLP en Google Cloud Console o recuperar información de resumen en la API de DLP con el método projects.dlpJobs.get.

Cloud DLP admite diferentes tipos de acciones según el tipo de trabajo que se ejecute (trabajos de análisis de riesgo o inspección). A continuación, se detallan las acciones que se admiten en la actualidad:

  • Guarda los resultados en BigQuery (trabajos de inspección y riesgo): guarda los resultados del trabajo de DLP en una tabla de BigQuery. Antes de ver o analizar los resultados, primero debes asegurarte de que el trabajo se haya completado.
  • Publicar en Pub/Sub (trabajos de inspección y riesgo): publica una notificación que contenga el nombre del trabajo de DLP como un atributo en Pub/Sub. Puedes especificar un tema al que se enviará el mensaje de notificación, siempre y cuando hayas otorgado acceso de publicación a la cuenta de servicio de Cloud DLP que ejecuta el trabajo de análisis de DLP.
  • Publicar en Security Command Center (trabajos de riesgo): publica un resumen de los resultados del trabajo en Security Command Center. Para obtener más información, consulta Envía resultados de análisis de Cloud DLP a Security Command Center.
  • Publicar en Data Catalog (trabajos de riesgo): envía resultados de trabajos a Data Catalog, el servicio de administración de metadatos de Google Cloud.
  • Publicar en el paquete de operaciones de Google Cloud (trabajos de riesgo): envía los resultados de inspección a Cloud Monitoring en Google Cloud's operations suite.
  • Notificar por correo electrónico (trabajos de inspección y riesgo): envía un correo electrónico a los propietarios y editores del proyecto cuando se completa el trabajo.

Especifica acciones

Puedes especificar una o más acciones cuando configuras Cloud DLP:

  • Cuando creas un nuevo trabajo de inspección o análisis de riesgos con Cloud DLP en Cloud Console, especifica acciones en la sección Agregar acciones del flujo de trabajo de creación de trabajos.
  • Cuando configuras una solicitud de trabajo nueva para enviar a la API de DLP, especifica las acciones en el objeto Action.

Para obtener más información y un código de muestra en varios lenguajes, consulta los siguientes vínculos:

Ejemplo de situación de acción

Puedes usar las acciones de Cloud DLP para automatizar los procesos basados en los resultados del análisis de Cloud DLP. Supongamos que tienes una tabla de BigQuery compartida con un socio externo. Deseas asegurarte de que ambas tablas no contengan identificadores sensibles, como los números de identificación personal de EE.UU. (el infoType US_SOCIAL_SECURITY_NUMBER), y que, si encuentras alguno, se revoca el acceso al socio. A continuación, se muestra un esquema simple de un flujo de trabajo que usaría acciones:

  1. Crea un activador de trabajo de Cloud DLP para ejecutar un análisis de inspección de la tabla de BigQuery cada 24 horas.
  2. Configura la acción de estos trabajos para publicar una notificación de Pub/Sub al tema “projects/foo/scan_notifications”.
  3. Crea un Cloud Function que escuche los mensajes entrantes en “projects/foo/scan_notifications”. Esta función de Cloud Functions recibirá el nombre del trabajo de DLP cada 24 horas, llamará a Cloud DLP para obtener resultados resumidos de este trabajo y, si encuentra números de identificación personal, puede cambiar la configuración en BigQuery o la administración de identidades y accesos (IAM) para restringir el acceso a la tabla.

¿Qué sigue?