En este tema, se describe en detalle cómo crear una plantilla de inspección nueva. Para obtener una explicación rápida sobre cómo crear una plantilla de inspección nueva mediante la IU de Cloud Data Loss Prevention (DLP), consulta Guía de inicio rápido: Crea una plantilla de inspección de Cloud DLP.
Acerca de las plantillas
Puedes usar plantillas a fin de crear y conservar información de configuración para usar con Cloud DLP. Las plantillas son útiles para separar la información de configuración, como qué inspeccionas y cómo lo desidentificas, de la implementación de tus solicitudes. Las plantillas proporcionan una forma de reutilizar la configuración y habilitar la coherencia entre los usuarios y los conjuntos de datos. Además, cada vez que actualizas una plantilla, se actualiza para cualquier activador de trabajo que la use.
Cloud DLP admite plantillas de inspección, que se analizan en este tema, y plantillas de desidentificación, que se analizan en Crea plantillas de desidentificación de Cloud DLP.
Para obtener más información conceptual sobre las plantillas en Cloud DLP, consulta Plantillas.
Crea una plantilla de inspección nueva
Para crear una plantilla de Cloud DLP nueva, haz lo siguiente:
Console
En Cloud Console, abre Cloud DLP.
En el menú Create (Crear), elige Template (Plantilla).
De forma alternativa, puedes hacer clic en el siguiente botón:
La página Crear plantilla contiene las siguientes secciones:
Define una plantilla
En Definir plantilla, ingresa un identificador para la plantilla de inspección. Así es como te referirás a la plantilla cuando ejecutes un trabajo, crees un activador de trabajo, etc. Puedes usar letras, números y guiones. Si lo deseas, también puedes ingresar un nombre visible más sencillo, así como una descripción para recordar mejor lo que hace la plantilla.
Configura la detección
A continuación, configura lo que Cloud DLP detectará en tu contenido mediante la selección de un Infotipo y otras opciones.
Los detectores de Infotipos encuentran datos sensibles de un tipo determinado. Por ejemplo, el detector de Infotipos US_SOCIAL_SECURITY_NUMBER de Cloud DLP busca números de identificación personal de EE.UU. Además de los detectores de Infotipos integrados, puedes crear tus propios detectores de Infotipos personalizados.
En Infotipos, elige el detector de Infotipo correspondiente al tipo de datos que deseas analizar. También puedes dejar este campo en blanco para buscar todos los Infotipos predeterminados. Para obtener más información sobre cada detector, consulta Referencia del detector de Infotipos.
También puedes agregar detectores de Infotipos personalizados en la sección Infotipos personalizados y personalizar los detectores de Infotipos integrados y personalizados en la sección conjuntos de reglas de inspección.
Infotipos personalizados
To add a custom infoType detector:
- Click Add custom infoType.
- Choose the type of custom infoType detector you want to create:
- Words or phrases: Matches on one or more words or phrases that you enter into the field. Use this custom infoType when you have just a few words or phrases to search for. Give your custom infoType a name, and then, under List of words or phrases, type the word or phrase you want Cloud DLP to match on. To search on multiple words or phrases, press Enter after each one. For more information, see Creating a regular custom dictionary detector.
- Dictionary path: Searches your content for items in a list of words and phrases. The list is stored in a text file in Cloud Storage. Use this custom infoType when you have anywhere from a few to several hundred thousand words or phrases to search for. This method is also useful if your list contains sensitive elements and you don't want to store them inside of a job or template. Give your custom infoType a name, and then, under Dictionary location, enter or browse to the Cloud Storage path where the dictionary file is stored. For more information, see Creating a regular custom dictionary detector.
- Regex: Matches content based on a regular expression. Give your custom infoType a name, and then, in the Regex field, enter a regex pattern to match words and phrases. See the supported regex syntax.
- Stored infoType: This option adds a stored custom dictionary detector, which is a kind of dictionary detector that is built from either a large text file stored in Cloud Storage or a single column of a BigQuery table. Use this kind of custom infoType when you have anywhere from several hundred thousand to tens of millions of words or phrases to search for. Be aware that this is the only option in this menu for which you must have already created the stored infoType to use it. Give your custom infoType a name (different from the name you gave the stored infoType), and then, in the Stored infoType field, enter the name of the stored infoType. For more information about creating stored custom dictionaries, see Creating a stored custom dictionary detector.
Click Add custom infoType again to add additional custom infoType detectors.
Conjuntos de reglas de inspección
Inspection rulesets allow you to customize both built-in and custom infoType detectors using context rules. The two types of inspection rules are:
- Exclusion rules, which help exclude false or unwanted findings.
- Hotword rules, which help detect additional findings.
To add a new ruleset, first specify one or more built-in or custom infoType detectors in the InfoTypes section. These are the infoType detectors that your rulesets will be modifying. Then, do the following:
- Click in the Choose infoTypes field. The infoType or infoTypes you specified previously appear below the field in a menu, as shown here:
- Choose an infoType from the menu, and then click Add rule. A menu appears with the two options Hotword rule and Exclusion rule.
For hotword rules, choose Hotword rules. Then, do the following:
- In the Hotword field, enter a regular expression that Cloud DLP should look for.
- From the Hotword proximity menu, choose whether the hotword you entered is found before or after the chosen infoType.
- In Hotword distance from infoType, enter the approximate number of characters between the hotword and the chosen infoType.
- In Confidence level adjustment, choose whether to assign matches a fixed likelihood level, or to increase or decrease the default likelihood level by a certain amount.
For exclusion rules, choose Exclusion rules. Then, do the following:
- In the Exclude field, enter a regular expression (regex) that Cloud DLP should look for.
- From the Matching type menu, choose one of the following:
- Full match: The finding must completely match the regex.
- Partial match: A substring of the finding can match the regex.
- Inverse match: The finding doesn't match the regex.
You can add additional hotword or exclusion rules and rulesets to further refine your scan results.
Límite de confianza
Cada vez que Cloud DLP detecta una posible coincidencia para datos sensibles, le asigna un valor de probabilidad en una escala de “Muy improbable” a “Muy probable”. Cuando configuras un valor de probabilidad aquí, le indicas a Cloud DLP que solo haga coincidir los datos que se corresponden con ese valor de probabilidad o uno superior.
El valor predeterminado “Posible” es suficiente para la mayoría de los propósitos. Si obtienes coincidencias demasiado amplias de forma rutinaria, mueve el control deslizante hacia arriba. Si obtienes muy pocas coincidencias, mueve el control deslizante hacia abajo.
Cuando hayas terminado, haz clic en Crear para crear la plantilla. Aparecerá la página de información de resumen de la plantilla.
Para volver a la página principal de Cloud DLP, haz clic en la flecha Atrás en Cloud Console.
Protocolo
Una plantilla de inspección es una configuración de inspección reutilizable más algunos metadatos. En términos de API, el objeto InspectTemplate es, de hecho, un objeto InspectConfig que incluye algunos campos más de metadatos, como un nombre visible y una descripción. Por lo tanto, para crear una plantilla de inspección nueva, los pasos básicos son los siguientes:
- Comienza con un objeto
InspectConfig. - Llama o publica el método
createdel recursoprojects.inspectTemplatesoorganizations.inspectTemplatescon un objetoInspectTemplateincluido en la solicitud que contenga un nombre visible, una descripción y ese objetoInspectConfig.
El InspectTemplate que se muestra estará listo para usarse de inmediato. Puedes hacer referencia a él en otras llamadas o trabajos por su name. Puedes enumerar las plantillas existentes mediante una llamada al método *.inspectTemplates.list. Para ver una plantilla específica, llama al método *.inspectTemplates.get. Ten en cuenta que el límite para la cantidad de plantillas que creas es 1,000.
Si ya tienes experiencia en la inspección de texto, imágenes o contenido estructurado en busca de contenido sensible mediante Cloud DLP, ya creaste un objeto InspectConfig. Un paso adicional lo convierte en un objeto InspectTemplate.
En el siguiente ejemplo de JSON, se muestra lo que podrías enviar al método projects.inspectTemplates.create. Con este JSON, se crea una plantilla nueva con el nombre visible y la descripción dados y se buscan coincidencias en los Infotipos PHONE_NUMBER y US_TOLLFREE_PHONE_NUMBER. Se incluirán en los resultados hasta 100 coincidencias cuyas probabilidades sean al menos de POSSIBLE y un fragmento de contexto para cada una.
Entrada de JSON:
POST https://dlp.googleapis.com/v2/projects/[PROJECT_ID]/inspectTemplates?key={YOUR_API_KEY}
{
"inspectTemplate":{
"displayName":"Phone number inspection",
"description":"Scans for phone numbers",
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
},
{
"name":"US_TOLLFREE_PHONE_NUMBER"
}
],
"minLikelihood":"POSSIBLE",
"limits":{
"maxFindingsPerRequest":100
},
"includeQuote":true
}
}
}
Resultado de JSON:
La respuesta JSON se parece a lo que se muestra a continuación:
{
"name":"projects/[PROJECT_ID]/inspectTemplates/[JOB_ID]",
"displayName":"Phone number inspection",
"description":"Scans for phone numbers",
"createTime":"2018-11-30T07:26:28.164136Z",
"updateTime":"2018-11-30T07:26:28.164136Z",
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
},
{
"name":"US_TOLLFREE_PHONE_NUMBER"
}
],
"minLikelihood":"POSSIBLE",
"limits":{
"maxFindingsPerRequest":100
},
"includeQuote":true
}
}
Para probar esto enseguida, puedes usar el Explorador de API que está incorporado a continuación. Si quieres obtener información general sobre el uso de JSON para enviar solicitudes a la API de Cloud DLP, consulta la Guía de inicio rápido de JSON.
Java
Node.js
Python
Go
PHP
C#
Usa plantillas de inspección
Después de crear una plantilla de inspección nueva, puedes usarla cuando crees un trabajo de inspección o un activador de trabajo nuevo. Cada vez que actualizas esa plantilla, se actualiza en cualquier activador de trabajo que la use. Para obtener más información, incluidas algunas muestras de código, consulta lo siguiente:
- Inspecciona el almacenamiento y las bases de datos en busca de datos sensibles
- Crea y programa trabajos de inspección de Cloud DLP.
Console
Para comenzar a usar enseguida la plantilla nueva, sigue las instrucciones que se proporcionan en la Guía de inicio rápido: Crea una plantilla de inspección de Cloud DLP con el siguiente cambio:
- En la sección Configurar la detección > Plantillas, haz clic en el campo Nombre de la plantilla y selecciona la plantilla que acabas de crear.
Para obtener una explicación más detallada de cómo analizar tu contenido, consulta Crea y programa trabajos de inspección de Cloud DLP y presta atención especial a la sección “Configura la detección”.
Protocolo
Puedes usar el identificador de plantilla que especificaste cuando creaste la plantilla en cualquier lugar donde se acepte inspectTemplateName, por ejemplo:
projects.content.inspect: Encuentra posibles datos sensibles en el contenido mediante la plantilla como su configuración.projects.content.deidentify: Encuentra y desidentifica datos sensibles en el contenido mediante la plantilla como su configuración. Ten en cuenta que este método usa una plantilla de inspección y una plantilla de desidentificación.projects.dlpJobs.create, en el objetoInspectJobConfig: Crea un trabajo de inspección que incluye la plantilla como su configuración.
Enumera plantillas de inspección
Para enumerar todas las plantillas de inspección que se crearon en el proyecto o la organización actual, sigue estos pasos:
Console
En Cloud Console, abre Cloud DLP.
Haz clic en la pestaña Plantillas.
En Console, se muestra una lista de todas las plantillas de inspección para el proyecto actual.
Protocolo
Usa uno de los métodos *.*.list:
Java
Node.js
Python
Go
PHP
C#
Borra plantillas de inspección
Para borrar una plantilla de inspección, haz lo siguiente:
Console
En Cloud Console, abre Cloud DLP.
Haz clic en la pestaña Configuration (Configuración) y, luego, en la pestaña Templates (Plantillas). En Console, se muestra una lista de todas las plantillas para el proyecto actual.
En la columna Actions (Acciones) de la plantilla que deseas borrar, haz clic en el menú Más acciones (que se muestra como tres puntos verticales)
y, luego, haz clic en Borrar.
De forma alternativa, en la lista de plantillas, puedes hacer clic en el nombre de la plantilla que deseas borrar. En la página de detalles de la plantilla, haz clic en Borrar.
Protocolo
Usa uno de los métodos *.*.delete:
Con cada método *.*.delete, incluyes el nombre del recurso de la plantilla que se borrará.
Java
Node.js
Python
Go
PHP
C#