Acciones

Una acción de protección de datos sensibles es algo que ocurre después de que una operación se completa correctamente o, en el caso de correos electrónicos, debido a un error. Por ejemplo, puedes guardar los resultados en una tabla de BigQuery, publicar una notificación en un tema de Pub/Sub o enviar un correo electrónico cuando una operación finaliza de forma correcta o se detiene en un error.

Acciones disponibles

Cuando ejecutas un trabajo de protección de datos sensibles, se guarda un resumen de los resultados de forma predeterminada en la protección de datos sensibles. Puedes ver este resumen con la Protección de datos sensibles en la consola de Google Cloud. Para los trabajos, también puedes recuperar la información de resumen en la API de DLP con el método projects.dlpJobs.get.

La protección de datos sensibles admite diferentes tipos de acciones según el tipo de operación que se ejecute. A continuación, se muestran las acciones admitidas.

Guardar los resultados en BigQuery

Guarda los resultados del trabajo de protección de datos sensibles en una tabla de BigQuery. Antes de ver o analizar los resultados, asegúrate de que el trabajo se haya completado.

Cada vez que se ejecuta un análisis, la protección de datos sensibles guarda los resultados del análisis en la tabla de BigQuery que especifiques. Los resultados exportados contienen detalles sobre la ubicación de cada resultado y la probabilidad de coincidencia. Si deseas que cada resultado incluya la string que coincidió con el detector de Infotipo, habilita la opción Incluir comillas.

Si no especificas un ID de tabla, BigQuery asigna un nombre predeterminado a una tabla nueva la primera vez que se ejecuta el análisis. Si especificas una tabla existente, Protección de datos sensibles le adjunta los resultados del análisis.

Cuando los datos se escriben en una tabla de BigQuery, el uso de la facturación y las cuotas se aplican al proyecto que contiene la tabla de destino.

Si no guardas los resultados en BigQuery, estos solo contendrán estadísticas sobre la cantidad y los infotipos de los resultados.

Publicar en Pub/Sub

Publica una notificación que contenga el nombre del trabajo de protección de datos sensibles como un atributo en un canal de Pub/Sub. Puedes especificar uno o más temas a los que enviar el mensaje de notificación. Asegúrate de que la cuenta de servicio de protección de datos sensibles que ejecuta el trabajo de análisis tenga acceso de publicación sobre el tema.

Si hay problemas de configuración o permisos con el tema de Pub/Sub, la protección de datos sensibles vuelve a intentar enviar la notificación de Pub/Sub durante un máximo de dos semanas. Después de dos semanas, se descarta la notificación.

Publicar en Security Command Center

Publica un resumen de los resultados del trabajo en Security Command Center. Para obtener más información, consulta Envía los resultados del análisis de la protección de datos sensibles a Security Command Center.

Publicar en Dataplex

Envía los resultados del trabajo a Dataplex, el servicio de administración de metadatos de Google Cloud.

Notificar por correo electrónico

Envía un correo electrónico cuando se complete el trabajo. El correo electrónico va a los propietarios de proyectos de IAM y a los contactos esenciales técnicos.

Publicar en Cloud Monitoring

Envía los resultados de la inspección a Cloud Monitoring en Google Cloud's operations suite.

Hacer una copia desidentificada

Desidentifica los resultados en los datos inspeccionados y escribe el contenido desidentificado en un archivo nuevo. Luego, puedes usar la copia desidentificada en los procesos empresariales, en lugar de datos que contengan información sensible. Para obtener más información, consulta Crea una copia desidentificada de los datos de Cloud Storage mediante la protección de datos sensibles en la consola de Google Cloud.

Operaciones admitidas

En la siguiente tabla, se muestran las operaciones de protección de datos sensibles y dónde está disponible cada acción.

Acción Inspección de BigQuery Inspección de Cloud Storage Inspección de Datastore Inspección híbrida Análisis de riesgos Descubrimiento (perfil de datos)
Publicar en Chronicle
Guardar los resultados en BigQuery
Publicar en Pub/Sub
Publicar en Security Command Center
Publicar en Dataplex (Data Catalog)
Notificar por correo electrónico
Publicar en Cloud Monitoring
Desidentificar resultados

Especifica acciones

Puedes especificar una o más acciones cuando configuras una protección de datos sensibles:

  • Cuando crees un nuevo trabajo de inspección o análisis de riesgos mediante la protección de datos sensibles en la consola de Google Cloud, especifica acciones en la sección Agregar acciones del flujo de trabajo de creación de trabajos.
  • Cuando configuras una solicitud de trabajo nueva para enviar a la API de DLP, especifica las acciones en el objeto Action.

Para obtener más información y un código de muestra en varios lenguajes, consulta los siguientes vínculos:

Ejemplo de situación de acción

Puedes usar acciones de protección de datos sensibles para automatizar procesos basados en los resultados del análisis de la protección de datos sensibles. Supongamos que tienes una tabla de BigQuery compartida con un socio externo. Deseas asegurarte de que ambas tablas no contengan identificadores sensibles, como los números de identificación personal de EE.UU. (el infoType US_SOCIAL_SECURITY_NUMBER), y que, si encuentras alguno, se revoca el acceso al socio. A continuación, se muestra un esquema simple de un flujo de trabajo que usaría acciones:

  1. Crea un activador de trabajo de protección de datos sensibles para ejecutar un análisis de inspección de la tabla de BigQuery cada 24 horas.
  2. Configura la acción de estos trabajos para publicar una notificación de Pub/Sub al tema “projects/foo/scan_notifications”.
  3. Crea un Cloud Function que escuche los mensajes entrantes en “projects/foo/scan_notifications”. Esta Cloud Function recibirá el nombre del trabajo de protección de datos sensibles cada 24 horas, llamará a la protección de datos sensibles para obtener resultados resumidos de este trabajo y, si encuentra números de seguridad social, puede cambiar la configuración en BigQuery o en la administración de identidades y accesos (IAM) para restringir el acceso a la tabla.

¿Qué sigue?