Se usó la API de Cloud Translation para traducir esta página.

Crea una clave unida

En esta página, se describe cómo usar Cloud Key Management Service (Cloud KMS) para crear una clave unida que luego puedes usar a fin de enviar solicitudes deidentify y reidentify a la API de Cloud Data Loss Prevention.

El proceso de usar una clave criptográfica para desidentificar y reidentificar contenido se denomina seudonimización (o asignación de token). Para obtener información conceptual sobre este proceso, consulta Seudonimización.

Para ver un ejemplo completo, que demuestre cómo crear una clave unida, asignar un token al contenido y reidentificar el contenido con asignación de token, consulta la Guía de inicio rápido: Desidentifica y reidentifica texto sensible en su lugar.

Puedes completar los pasos en este tema en 5 a 10 minutos, sin incluir los pasos de Antes de comenzar.

Antes de comenzar

Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Instala Google Cloud CLI.

Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

gcloud init

Crea o selecciona un proyecto de Google Cloud.

Crea un proyecto de Google Cloud:
```
gcloud projects create PROJECT_ID
```
Selecciona el proyecto de Google Cloud que creaste:
```
gcloud config set project PROJECT_ID
```

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

Habilita las APIs de Cloud DLP and Cloud KMS:

gcloud services enable dlp.googleapis.comcloudkms.googleapis.com

Otorga roles a tu Cuenta de Google. Ejecuta el siguiente comando una vez para cada uno de los siguientes roles de IAM: roles/dlp.user

gcloud projects add-iam-policy-binding PROJECT_ID --member="user:EMAIL_ADDRESS" --role=ROLE

Reemplaza PROJECT_ID con el ID del proyecto.
Reemplaza EMAIL_ADDRESS por tu dirección de correo electrónico.
Reemplaza ROLE por cada rol individual.

Instala Google Cloud CLI.

Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

gcloud init

Crea o selecciona un proyecto de Google Cloud.

Crea un proyecto de Google Cloud:
```
gcloud projects create PROJECT_ID
```
Selecciona el proyecto de Google Cloud que creaste:
```
gcloud config set project PROJECT_ID
```

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

Habilita las APIs de Cloud DLP and Cloud KMS:

gcloud services enable dlp.googleapis.comcloudkms.googleapis.com

Otorga roles a tu Cuenta de Google. Ejecuta el siguiente comando una vez para cada uno de los siguientes roles de IAM: roles/dlp.user

gcloud projects add-iam-policy-binding PROJECT_ID --member="user:EMAIL_ADDRESS" --role=ROLE

Reemplaza PROJECT_ID con el ID del proyecto.
Reemplaza EMAIL_ADDRESS por tu dirección de correo electrónico.
Reemplaza ROLE por cada rol individual.

Paso 1: Crea un llavero de claves y una clave

Antes de comenzar con este procedimiento, decide dónde deseas que Cloud DLP procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que usarás para tus solicitudes de Cloud DLP. De lo contrario, las solicitudes de Cloud DLP fallarán.

Puedes encontrar una lista de ubicaciones compatibles en ubicaciones de Cloud DLP. Anota el nombre de la región que elegiste (por ejemplo, us-west1).

En este procedimiento, se usa global como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global por el nombre de la región.

Crea un llavero de claves

gcloud kms keyrings create "dlp-keyring" \
    --location "global"

Crea una clave:

gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

Enumera el llavero de claves y la clave:

gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

Obtendrás el siguiente resultado:

NAME                                                                                   PURPOSE          ALGORITHM                    PROTECTION_LEVEL  LABELS  PRIMARY_ID  PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key  ENCRYPT_DECRYPT  GOOGLE_SYMMETRIC_ENCRYPTION  SOFTWARE                  1           ENABLED

En este resultado, PROJECT_ID es el ID de tu proyecto.

La ruta en NAME es el nombre completo del recurso de tu clave de Cloud KMS. Anota esto, puesto que las solicitudes de desidentificación y reidentificación lo requieren.

Paso 2: Crea una clave AES codificada en base64

En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.

Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza openssl para crear una clave de 256 bits en el directorio actual:
```
openssl rand -out "./aes_key.bin" 32
```
El archivo aes_key.bin se agrega a tu directorio actual.
Codifica la clave AES como una string de base64:
```
base64 -i ./aes_key.bin
```
Obtendrás un resultado similar al siguiente:
```
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
```
Advertencia: No uses esta clave de ejemplo para proteger las cargas de trabajo sensibles reales. Esta clave se proporciona solo a modo de ejemplo. Dado que se comparte aquí, no es seguro utilizarla.

Paso 3: Une la clave AES con la clave de Cloud KMS

En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en el Paso 1 para unir la clave AES codificada en base64 que creaste en el Paso 2.

Para unir la clave AES, usa curl a fin de enviar la siguiente solicitud a la API de Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
  --request "POST" \
  --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
  --header "content-type: application/json" \
  --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Reemplaza lo siguiente:

PROJECT_ID: es el ID de tu proyecto.
BASE64_ENCODED_AES_KEY: la string codificada en base64 que se muestra en el Paso 2.

La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:

{
  "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Anota el valor de ciphertext en la respuesta que obtienes. Esa es tu clave unida.

¿Qué sigue?

Obtén más información sobre la asignación de token a los datos mediante una clave criptográfica.
Trabaja con un ejemplo completo en el que se muestre cómo crear una clave unida, asignar un token al contenido y reidentificar el contenido con asignación de token.
Obtén más información sobre los métodos de desidentificación que aceptan esta clave unida y revisa las muestras de código.