O Cloud Data Loss Prevention (Cloud DLP) agora faz parte da Proteção de dados confidenciais. O nome da API continua o mesmo: API Cloud Data Loss Prevention (API DLP). Saiba mais sobre os serviços que fazem parte da Proteção de dados confidenciais.

Criar uma chave encapsulada

Nesta página, descrevemos como usar o Cloud Key Management Service (Cloud KMS) para criar uma chave encapsulada que pode ser usada para enviar solicitações deidentify e reidentify à API Cloud Data Loss Prevention de proteção de dados sensíveis.

O processo de usar uma chave criptográfica para desidentificar e reidentificar conteúdo é chamado de pseudonimização (ou tokenização). Para informações conceituais sobre esse processo, veja Pseudonimização.

Para ver um exemplo completo que demonstra como criar uma chave encapsulada, tokenizar conteúdo e reidentificar conteúdo tokenizado, veja o Guia de início rápido: como desidentificar e reidentificar textos confidenciais.

Você pode concluir as etapas deste tópico em 5 a 10 minutos, sem incluir as etapas Antes de começar.

Antes de começar

Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Instale a CLI do Google Cloud.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Crie ou selecione um projeto do Google Cloud.

Crie um projeto do Google Cloud:
```
gcloud projects create PROJECT_ID
```
Substitua PROJECT_ID por um nome para o projeto do Google Cloud que você está criando.
Selecione o projeto do Google Cloud que você criou:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo nome do projeto do Google Cloud.

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Ative as APIs Sensitive Data Protection and Cloud KMS:

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Atribua os papéis à sua Conta do Google. Execute uma vez o seguinte comando para cada um dos seguintes papéis do IAM: roles/dlp.user

gcloud projects add-iam-policy-binding PROJECT_ID --member="user:EMAIL_ADDRESS" --role=ROLE

Substitua PROJECT_ID pela ID do seu projeto.
Substitua EMAIL_ADDRESS pelo seu endereço de e-mail.
Substitua ROLE por cada papel individual.

Instale a CLI do Google Cloud.

Para inicializar a CLI gcloud, execute o seguinte comando:

gcloud init

Crie ou selecione um projeto do Google Cloud.

Crie um projeto do Google Cloud:
```
gcloud projects create PROJECT_ID
```
Substitua PROJECT_ID por um nome para o projeto do Google Cloud que você está criando.
Selecione o projeto do Google Cloud que você criou:
```
gcloud config set project PROJECT_ID
```
Substitua PROJECT_ID pelo nome do projeto do Google Cloud.

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Ative as APIs Sensitive Data Protection and Cloud KMS:

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Atribua os papéis à sua Conta do Google. Execute uma vez o seguinte comando para cada um dos seguintes papéis do IAM: roles/dlp.user

gcloud projects add-iam-policy-binding PROJECT_ID --member="user:EMAIL_ADDRESS" --role=ROLE

Substitua PROJECT_ID pela ID do seu projeto.
Substitua EMAIL_ADDRESS pelo seu endereço de e-mail.
Substitua ROLE por cada papel individual.

Etapa 1: criar um keyring e uma chave

Antes de iniciar esse procedimento, decida onde você quer que a proteção de dados sensíveis processe suas solicitações de desidentificação e reidentificação. Ao criar uma chave do Cloud KMS, armazene-a em global ou na mesma região que será usada para as solicitações de proteção de dados confidenciais. Caso contrário, as solicitações de proteção de dados sensíveis vão falhar.

Confira uma lista de locais compatíveis em Locais de proteção de dados sensíveis. Anote o nome da região escolhida (por exemplo, us-west1).

Neste procedimento, global é usado como local para todas as solicitações de API. Se você quiser usar uma região diferente, substitua global pelo nome da região.

Crie um keyring:

gcloud kms keyrings create "dlp-keyring" \
    --location "global"

Crie uma chave:

gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

Liste o keyring e a chave:

gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

A saída a seguir é exibida:

NAME                                                                                   PURPOSE          ALGORITHM                    PROTECTION_LEVEL  LABELS  PRIMARY_ID  PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key  ENCRYPT_DECRYPT  GOOGLE_SYMMETRIC_ENCRYPTION  SOFTWARE                  1           ENABLED

Nessa saída, PROJECT_ID é o ID do projeto.

O caminho em NAME é o nome completo do recurso da chave do Cloud KMS. Anote-o, porque as solicitações de desidentificação e reidentificação exigem isso.

Etapa 2: criar uma chave AES codificada em base64

Esta seção descreve como criar uma chave do padrão de criptografia avançada (AES) e codificá-la no formato base64.

Crie uma chave AES de 128, 192 ou 256 bits. O comando a seguir usa openssl para criar uma chave de 256 bits no diretório atual:
```
openssl rand -out "./aes_key.bin" 32
```
O arquivo aes_key.bin é adicionado ao diretório atual.
Codifique a chave AES como uma string base64:
```
base64 -i ./aes_key.bin
```
Você verá um resultado parecido com este:
```
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
```
Aviso: não use este exemplo de chave para proteger cargas de trabalho confidenciais reais. Essa chave é fornecida apenas como exemplo. Como ela é compartilhada aqui, essa chave não é segura.

Etapa 3: unir a chave AES usando a chave do Cloud KMS

Esta seção descreve como usar a chave do Cloud KMS que você criou na Etapa 1 para encapsular a chave AES codificada em base64 criada na Etapa 2. de dados.

Para encapsular a chave AES, use curl para enviar a seguinte solicitação para a API Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
  --request "POST" \
  --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
  --header "content-type: application/json" \
  --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Substitua:

PROJECT_ID: ID do projeto.
BASE64_ENCODED_AES_KEY: a string codificada em base64 retornada na Etapa 2.

A resposta que você recebe do Cloud KMS é semelhante ao seguinte JSON:

{
  "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

Nessa saída, PROJECT_ID é o ID do projeto.

Anote o valor de ciphertext na resposta recebida. Essa é sua chave encapsulada.

A seguir

Saiba mais sobre a tokenização de dados com uma chave criptográfica.
Analise um exemplo completo com a demonstração de como criar uma chave encapsulada, tokenizar o conteúdo e reidentificar o conteúdo tokenizado.
Saiba mais sobre os métodos de desidentificação que aceitam essa chave encapsulada e veja exemplos de código.