Una acción de protección de datos sensibles es algo que ocurre después de que una operación se completa correctamente o, en el caso de correos electrónicos, debido a un error. Por ejemplo, puedes guardar los resultados en una tabla de BigQuery, publicar una notificación en un tema de Pub/Sub o enviar un correo electrónico cuando una operación finaliza de forma correcta o se detiene en un error.
Acciones disponibles
Cuando ejecutas un trabajo de protección de datos sensibles, se guarda un resumen de los resultados de forma predeterminada en la protección de datos sensibles. Puedes ver este resumen con la Protección de datos sensibles en la consola de Google Cloud. Para los trabajos, también puedes recuperar la información de resumen en la API de DLP con el método projects.dlpJobs.get.
La protección de datos sensibles admite diferentes tipos de acciones según el tipo de operación que se ejecute. A continuación, se muestran las acciones admitidas.
Guardar los resultados en BigQuery
Guarda los resultados del trabajo de protección de datos sensibles en una tabla de BigQuery. Antes de ver o analizar los resultados, asegúrate de que el trabajo se haya completado.
Cada vez que se ejecuta un análisis, la protección de datos sensibles guarda los resultados del análisis en la tabla de BigQuery que especifiques. Los resultados exportados contienen detalles sobre la ubicación de cada resultado y la probabilidad de coincidencia. Si deseas que cada resultado incluya la string que coincidió con el detector de Infotipo, habilita la opción Incluir comillas.
Si no especificas un ID de tabla, BigQuery asigna un nombre predeterminado a una tabla nueva la primera vez que se ejecuta el análisis. Si especificas una tabla existente, Protección de datos sensibles le adjunta los resultados del análisis.
Cuando los datos se escriben en una tabla de BigQuery, el uso de la facturación y las cuotas se aplican al proyecto que contiene la tabla de destino.
Si no guardas los resultados en BigQuery, estos solo contendrán estadísticas sobre la cantidad y los infotipos de los resultados.
Publicar en Pub/Sub
Publica una notificación que contenga el nombre del trabajo de protección de datos sensibles como un atributo en un canal de Pub/Sub. Puedes especificar uno o más temas a los que enviar el mensaje de notificación. Asegúrate de que la cuenta de servicio de protección de datos sensibles que ejecuta el trabajo de análisis tenga acceso de publicación sobre el tema.
Si hay problemas de configuración o permisos con el tema de Pub/Sub, la protección de datos sensibles vuelve a intentar enviar la notificación de Pub/Sub durante un máximo de dos semanas. Después de dos semanas, se descarta la notificación.
Publicar en Security Command Center
Publica un resumen de los resultados del trabajo en Security Command Center. Para obtener más información, consulta Envía los resultados del análisis de la protección de datos sensibles a Security Command Center.
Publicar en Dataplex
Envía los resultados del trabajo a Dataplex, el servicio de administración de metadatos de Google Cloud.
Notificar por correo electrónico
Envía un correo electrónico cuando se complete el trabajo. El correo electrónico va a los propietarios de proyectos de IAM y a los contactos esenciales técnicos.
Publicar en Cloud Monitoring
Envía los resultados de la inspección a Cloud Monitoring en Google Cloud's operations suite.
Hacer una copia desidentificada
Desidentifica los resultados en los datos inspeccionados y escribe el contenido desidentificado en un archivo nuevo. Luego, puedes usar la copia desidentificada en los procesos empresariales, en lugar de datos que contengan información sensible. Para obtener más información, consulta Crea una copia desidentificada de los datos de Cloud Storage mediante la protección de datos sensibles en la consola de Google Cloud.
Operaciones admitidas
En la siguiente tabla, se muestran las operaciones de protección de datos sensibles y dónde está disponible cada acción.
| Acción | Inspección de BigQuery | Inspección de Cloud Storage | Inspección de Datastore | Inspección híbrida | Análisis de riesgos | Descubrimiento (perfil de datos) |
|---|---|---|---|---|---|---|
| Publicar en Chronicle | ✓ | |||||
| Guardar los resultados en BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
| Publicar en Dataplex (Data Catalog) | ✓ | ✓ | ||||
| Notificar por correo electrónico | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Publicar en Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
| Desidentificar resultados | ✓ |
Especifica acciones
Puedes especificar una o más acciones cuando configuras una protección de datos sensibles:
- Cuando crees un nuevo trabajo de inspección o análisis de riesgos mediante la protección de datos sensibles en la consola de Google Cloud, especifica acciones en la sección Agregar acciones del flujo de trabajo de creación de trabajos.
- Cuando configuras una solicitud de trabajo nueva para enviar a la API de DLP, especifica las acciones en el objeto
Action.
Para obtener más información y un código de muestra en varios lenguajes, consulta los siguientes vínculos:
- Crea y programa trabajos de inspección
- Calcula el k-anonimato de un conjunto de datos
- Calcula la l-diversidad de un conjunto de datos
Ejemplo de situación de acción
Puedes usar acciones de protección de datos sensibles para automatizar procesos basados en los resultados del análisis de la protección de datos sensibles. Supongamos que tienes una tabla de BigQuery compartida con un socio externo. Deseas asegurarte de que ambas tablas no contengan identificadores sensibles, como los números de identificación personal de EE.UU. (el infoType US_SOCIAL_SECURITY_NUMBER), y que, si encuentras alguno, se revoca el acceso al socio. A continuación, se muestra un esquema simple de un flujo de trabajo que usaría acciones:
- Crea un activador de trabajo de protección de datos sensibles para ejecutar un análisis de inspección de la tabla de BigQuery cada 24 horas.
- Configura la acción de estos trabajos para publicar una notificación de Pub/Sub al tema “projects/foo/scan_notifications”.
- Crea un Cloud Function que escuche los mensajes entrantes en “projects/foo/scan_notifications”. Esta Cloud Function recibirá el nombre del trabajo de protección de datos sensibles cada 24 horas, llamará a la protección de datos sensibles para obtener resultados resumidos de este trabajo y, si encuentra números de seguridad social, puede cambiar la configuración en BigQuery o en la administración de identidades y accesos (IAM) para restringir el acceso a la tabla.
¿Qué sigue?
- Obtén más información sobre las acciones disponibles con los trabajos de inspección.
- Obtén más información sobre las acciones disponibles con los trabajos de análisis de riesgos.