Cloud Data Loss Prevention (Cloud DLP) ahora es parte de Sensitive Data Protection. El nombre de la API sigue siendo el mismo: API de Cloud Data Loss Prevention (API de DLP). Para obtener información sobre los servicios que conforman la protección de datos sensibles, consulta la descripción general de la protección de datos sensibles.

Se usó la API de Cloud Translation para traducir esta página.

Perfiles de datos

En esta página, se describe el servicio de descubrimiento de datos sensibles. Este servicio ayuda a determinar dónde residen los datos sensibles y de alto riesgo en tu organización.

Descripción general

El servicio de descubrimiento te permite proteger los datos de tu organización, ya que identifica dónde residen los datos sensibles y de alto riesgo. Cuando creas una configuración de análisis de descubrimiento, Sensitive Data Protection analiza tus recursos para identificar los datos dentro del alcance de la generación de perfiles. Luego, genera perfiles de tus datos. Siempre que la configuración de descubrimiento esté activa, Sensitive Data Protection crea perfiles automáticamente de los datos que agregues y modifiques. Puedes generar perfiles de datos en toda la organización, en carpetas individuales y en proyectos individuales.

Cada perfil de datos es un conjunto de estadísticas y metadatos que el servicio de descubrimiento recopila a partir del análisis de un recurso compatible. Las estadísticas incluyen los infoTypes previstos y los niveles de sensibilidad y riesgo de datos calculados de tus datos. Usa estas estadísticas para tomar decisiones fundamentadas sobre cómo proteger, compartir y usar tus datos.

Los perfiles de datos se generan en varios niveles de detalle. Por ejemplo, cuando generas perfiles de datos de BigQuery, los perfiles se generan a nivel del proyecto, la tabla y la columna.

En la siguiente imagen, se muestra una lista de perfiles de datos a nivel de la columna. Haz clic en la imagen para agrandarla.

Captura de pantalla de perfiles de datos de columnas

Para obtener una lista de las estadísticas y los metadatos incluidos en cada perfil de datos, consulta la Referencia de las métricas.

Para obtener más información sobre la jerarquía de recursos de Google Cloud, consulta Jerarquía de recursos.

Generación de perfiles de datos

Para comenzar a generar perfiles de datos, debes crear una configuración de análisis de descubrimiento (también llamada configuración de perfil de datos). En esta configuración de análisis, estableces el alcance de la operación de descubrimiento y el tipo de datos que deseas perfilar. En la configuración de la escaneo, puedes establecer filtros para especificar subconjuntos de datos que deseas generar perfiles o omitir. También puedes establecer el programa de generación de perfiles.

Cuando creas una configuración de análisis, también estableces la plantilla de inspección que se usará. En la plantilla de inspección, especificas los tipos de datos sensibles (también llamados infoTypes) que Sensitive Data Protection debe analizar.

Cuando Sensitive Data Protection crea perfiles de datos, analiza tus datos según la configuración de análisis y la plantilla de inspección.

Sensitive Data Protection vuelve a generar perfiles de datos como se describe en Frecuencia de generación de perfiles de datos. Para personalizar la frecuencia de generación de perfiles en la configuración de análisis, crea un programa. Para forzar al servicio de descubrimiento a volver a crear el perfil de tus datos, consulta Cómo forzar una operación de reestructuración.

Tipos de descubrimiento

En esta sección, se describen los tipos de operaciones de descubrimiento que puedes realizar y los recursos de datos admitidos.

Descubrimiento para BigQuery y BigLake

Cuando generas perfiles de datos de BigQuery, estos se generan a nivel del proyecto, la tabla y la columna. Después de generar perfiles de una tabla de BigQuery, puedes investigar más los resultados realizando una inspección profunda.

Tablas de perfiles de Protección de datos sensibles compatibles con la API de lectura de BigQuery Storage, incluidas las siguientes:

Tablas estándar de BigQuery
Instantáneas de tablas
Tablas de BigLake almacenadas en Cloud Storage

Las siguientes opciones no son compatibles:

Tablas de BigQuery Omni
Tablas en las que el tamaño de los datos serializados de filas individuales supera el tamaño máximo de datos serializados que admite la API de BigQuery Storage Read: 128 MB.
Tablas externas que no sean de BigLake, como Hojas de cálculo de Google

Si deseas obtener información para crear perfiles de datos de BigQuery, consulta lo siguiente:

Para obtener más información sobre BigQuery, consulta la documentación de BigQuery.

Descubrimiento para Cloud SQL

Cuando generas perfiles de datos de Cloud SQL, estos se generan a nivel del proyecto, la tabla y la columna. Antes de que pueda comenzar el descubrimiento, debes proporcionar los detalles de conexión de cada instancia de Cloud SQL para que se genere el perfil.

Para obtener información sobre cómo generar perfiles de datos de Cloud SQL, consulta lo siguiente:

Para obtener más información sobre Cloud SQL, consulta la documentación de Cloud SQL.

Descubrimiento para Cloud Storage

Cuando creas perfiles de datos de Cloud Storage, estos se generan a nivel del bucket. La Protección de datos sensibles agrupa los archivos detectados en clústeres de archivos y proporciona un resumen de cada clúster.

Para obtener información sobre cómo crear perfiles de datos de Cloud Storage, consulta lo siguiente:

Para obtener más información sobre Cloud Storage, consulta la documentación de Cloud Storage.

Discovery para Vertex AI

Cuando creas un perfil de un conjunto de datos de Vertex AI, Sensitive Data Protection genera un perfil de datos de almacén de archivos o un perfil de datos de tabla, según dónde se almacenen tus datos de entrenamiento: Cloud Storage o BigQuery.

Para obtener más información, consulta lo siguiente:

Para obtener más información sobre Vertex AI, consulta la documentación de Vertex AI.

Descubrimiento para Amazon S3

Cuando creas perfiles de datos de S3, estos se generan a nivel del bucket. La protección de datos sensibles agrupa los archivos detectados en clústeres de archivos y proporciona un resumen de cada clúster.

Para obtener más información, consulta Descubrimiento de datos sensibles para datos de Amazon S3.

Variables de entorno de Cloud Run

El servicio de descubrimiento puede detectar la presencia de secretos en las funciones de Cloud Run y las variables de entorno de revisión del servicio de Cloud Run, y enviar los resultados a Security Command Center. No se generan perfiles de datos.

Para obtener más información, consulta Cómo informar secretos en variables de entorno a Security Command Center.

Roles necesarios para configurar y ver perfiles de datos

En las siguientes secciones, se enumeran los roles de usuario obligatorios, categorizados según su propósito. Según la configuración de tu organización, puedes decidir que diferentes personas realicen diferentes tareas. Por ejemplo, la persona que configura los perfiles de datos puede ser diferente de la que los supervisa con regularidad.

Roles necesarios para trabajar con perfiles de datos a nivel de la organización o de la carpeta

Estos roles te permiten configurar y ver perfiles de datos a nivel de la organización o la carpeta.

Asegúrate de que estos roles se otorguen a las personas adecuadas a nivel de la organización. Como alternativa, el administrador de Google Cloud puede crear roles personalizados que solo tengan los permisos relevantes.

Objetivo	Función predefinida	Permisos relevantes
Crea una configuración de análisis de descubrimiento y consulta los perfiles de datos	Administrador de DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un proyecto para usarlo como contenedor de agente de servicio¹	Creador del proyecto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Otorga acceso de descubrimiento²	Uno de los siguientes: Administrador de la organización (`roles/resourcemanager.organizationAdmin`) Administrador de seguridad (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy
Ver perfiles de datos (solo lectura)	Lector de perfiles de datos de DLP (`roles/dlp.dataProfilesReader`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Ver perfiles de datos (solo lectura)	Lector de PPD (`roles/dlp.reader`)	dlp.jobs.list dlp.jobTriggers.list

¹ Si no tienes el rol de creador de proyectos (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que uses debe ser un proyecto existente.

² Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o de administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, alguien de tu organización que tenga uno de estos roles debe otorgar acceso de descubrimiento al agente de servicio.

Roles necesarios para trabajar con perfiles de datos a nivel del proyecto

Estos roles te permiten configurar y ver perfiles de datos a nivel del proyecto.

Asegúrate de que estos roles se otorguen a las personas adecuadas a nivel del proyecto. Como alternativa, el administrador de Google Cloud puede crear roles personalizados que solo tengan los permisos relevantes.

Objetivo	Función predefinida	Permisos relevantes
Configura y visualiza los perfiles de datos	Administrador de DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Ver perfiles de datos (solo lectura)	Lector de perfiles de datos de DLP (`roles/dlp.dataProfilesReader`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Ver perfiles de datos (solo lectura)	Lector de PPD (`roles/dlp.reader`)	dlp.jobs.list dlp.jobTriggers.list

Configuración de análisis de descubrimiento

Una configuración de análisis de descubrimiento (a veces llamada configuración de descubrimiento o configuración de análisis) especifica cómo la Protección de datos sensibles debe generar perfiles de tus datos. En la configuración, se incluyen los siguientes parámetros:

Alcance (organización, carpeta o proyecto) de la operación de descubrimiento
Tipo de recurso para generar perfiles
Plantillas de inspección para usar
Frecuencia de escaneo
Subconjuntos específicos de datos que se deben incluir o excluir del descubrimiento
Las acciones que deseas que Sensitive Data Protection realice después del descubrimiento, por ejemplo, en qué servicios de Google Cloud se deben publicar los perfiles
Agente de servicio que se usará para las operaciones de descubrimiento

Para obtener información sobre cómo crear una configuración de análisis de descubrimiento, consulta las siguientes páginas:

Descubrimiento para datos de BigQuery
- Genera perfiles de datos de BigQuery en un solo proyecto
- Cómo perfilar datos de BigQuery en una organización o carpeta
Descubrimiento de datos de Cloud SQL
- Perfeccionar los datos de Cloud SQL en un solo proyecto
- Perfeccionar los datos de Cloud SQL en una organización o una carpeta
Descubrimiento de datos de Cloud Storage
- Cómo perfilar datos de Cloud Storage en un solo proyecto
- Cómo perfilar datos de Cloud Storage en una organización o carpeta
Descubrimiento de datos de Vertex AI (versión preliminar)

Vista previa

Esta función está sujeta a las "Condiciones de las Ofertas de Fase Previa a la DG" de la sección Condiciones Generales del Servicio de las Condiciones Específicas del Servicio. Las funciones de fase previa a la DG están disponibles “tal cual” y podrían tener asistencia limitada. Para obtener más información, consulta las descripciones de la etapa de lanzamiento.
- Genera perfiles de datos de Vertex AI en un solo proyecto
- Genera perfiles de datos de Vertex AI en una organización o carpeta
Descubrimiento de datos de Amazon S3
Informa los secretos en las variables de entorno de Cloud Run a Security Command Center (no se generan perfiles)

Alcances de la configuración de análisis

Puedes crear una configuración de análisis en los siguientes niveles:

Organización
Carpetas
Proyecto
Recurso de datos único

A nivel de la organización y la carpeta, si dos o más parámetros de configuración de análisis activos tienen el mismo proyecto en su alcance, Sensitive Data Protection determina cuál configuración de análisis puede generar perfiles para ese proyecto. Para obtener más información, consulta Cómo anular las configuraciones de análisis en esta página.

Una configuración de análisis a nivel del proyecto siempre puede generar perfiles del proyecto de destino y no compite con otras configuraciones a nivel de la carpeta superior o organización.

Una configuración de análisis de un solo recurso está diseñada para ayudarte a explorar y probar la generación de perfiles en un solo recurso de datos.

Ubicación de la configuración de análisis

La primera vez que creas una configuración de análisis, debes especificar dónde quieres que la Protección de datos sensibles la almacene. Todos los parámetros de configuración de análisis posteriores que crees se almacenarán en esa misma región.

Por ejemplo, si creas una configuración de análisis para la carpeta A y la almacenas en la región us-west1, cualquier configuración de análisis que crees más adelante para cualquier otro recurso también se almacenará en esa región.

Los metadatos sobre los datos que se van a perfilar se copian en la misma región que tus parámetros de configuración de análisis, pero los datos en sí no se mueven ni se copian. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.

Plantilla de inspección

Una plantilla de inspección especifica qué tipos de información (o infotipos) busca Sensitive Data Protection mientras analiza tus datos. Aquí, proporcionas una combinación de infotipos integrados y infotipos personalizados opcionales.

También puedes proporcionar un nivel de probabilidad para limitar lo que Sensitive Data Protection considera una coincidencia. Puedes agregar conjuntos de reglas para excluir resultados no deseados o incluir resultados adicionales.

De forma predeterminada, si cambias una plantilla de inspección que usa la configuración de análisis, los cambios solo se aplican a los análisis futuros. Tu acción no genera una operación de reasignación de perfil en tus datos.

Si deseas que los cambios en la plantilla de inspección activen operaciones de generación de nuevos perfiles en los datos afectados, agrega o actualiza un programa en la configuración de análisis y activa la opción para generar nuevos perfiles de los datos cuando cambie la plantilla de inspección. Para obtener más información, consulta Frecuencia de generación de perfiles de datos.

Debes tener una plantilla de inspección en cada región en la que tengas datos para el perfil. Si deseas usar una sola plantilla para varias regiones, puedes usar una plantilla que se almacene en la región global. Si las políticas organizacionales te impiden crear una plantilla de inspección en la región global, entonces debes establecer una plantilla de inspección dedicada para cada región. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.

Las plantillas de inspección son un componente fundamental de la plataforma de Sensitive Data Protection. Los perfiles de datos usan las mismas plantillas de inspección que puedes usar en todos los servicios de Sensitive Data Protection. Para obtener más información sobre las plantillas de inspección, consulta Plantillas.

Contenedor del agente de servicio y agente de servicio

Cuando creas una configuración de análisis para tu organización o para una carpeta, la Protección de datos sensibles requiere que proporciones un contenedor de agente de servicio. Un contenedor de agente de servicio es un proyecto de Google Cloud que usa la Protección de datos sensibles para hacer un seguimiento de los cargos facturados relacionados con las operaciones de generación de perfiles a nivel de la organización y de la carpeta.

El contenedor de agentes de servicio contiene un agente de servicio, que la Protección de datos sensibles usa para crear perfiles de datos en tu nombre. Necesitas un agente de servicio para autenticarte en Sensitive Data Protection y otras APIs. Tu agente de servicio debe tener todos los permisos necesarios para acceder a tus datos y crear perfiles. El ID del agente de servicio tiene el siguiente formato:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

Aquí, PROJECT_NUMBER es el identificador numérico del contenedor del agente de servicio.

Cuando configures el contenedor de agente de servicio, puedes elegir un proyecto existente. Si el proyecto que seleccionas contiene un agente de servicio, la Protección de datos sensibles le otorga los permisos de IAM necesarios. Si el proyecto no tiene un agente de servicio, Sensitive Data Protection crea uno y le otorga automáticamente permisos de generación de perfiles de datos.

Como alternativa, puedes optar por que Sensitive Data Protection cree automáticamente el contenedor y el agente de servicio. La protección de datos sensibles otorga automáticamente permisos de generación de perfiles de datos al agente de servicio.

En ambos casos, si Sensitive Data Protection no otorga acceso al perfil de datos a tu agente de servicio, se muestra un error cuando ves los detalles de la configuración del análisis.

Para las configuraciones de análisis a nivel del proyecto, no necesitas un contenedor de agente de servicio. El proyecto del que generas perfiles cumple con el propósito del contenedor del agente de servicio. Para ejecutar operaciones de generación de perfiles, Sensitive Data Protection usa el agente de servicio de ese proyecto.

Acceso a la generación de perfiles de datos a nivel de la organización o la carpeta

Cuando configuras la generación de perfiles a nivel de la organización o la carpeta, Sensitive Data Protection intenta otorgar acceso automático a la generación de perfiles de datos a tu agente de servicio. Sin embargo, si no tienes los permisos para otorgar roles de IAM, la Protección de datos sensibles no puede realizar esta acción en tu nombre. Alguien con esos permisos en tu organización, como un administrador de Google Cloud, debe otorgar acceso a la generación de perfiles de datos a tu agente de servicio.

Frecuencia de generación de perfiles de datos

Después de crear una configuración de análisis de descubrimiento para un recurso en particular, Sensitive Data Protection realiza un análisis inicial y genera perfiles de los datos en el alcance de tu configuración de análisis.

Después del análisis inicial, la Protección de datos sensibles supervisa de forma continua el recurso perfilado. Los datos que se agregan al recurso se perfilan automáticamente poco después de que se agregan.

Frecuencia de perfilación predeterminada

La frecuencia de reprofileación predeterminada difiere según el tipo de descubrimiento de tu configuración de análisis:

Perfilación de BigQuery: Para cada tabla, espera 30 días y, luego, vuelve a perfilarla si hubo cambios en el esquema, las filas de la tabla o la plantilla de inspección.
Generación de perfiles de Cloud SQL: Para cada tabla, espera 30 días y, luego, vuelve a generar el perfil de la tabla si hubo cambios en el esquema o la plantilla de inspección.
Generación de perfiles de Cloud Storage: Para cada bucket, espera 30 días y, luego, vuelve a generar el perfil del bucket si la plantilla de inspección tuvo cambios.
Generación de perfiles de Vertex AI: Para cada conjunto de datos, espera 30 días y, luego, vuelve a generar el perfil del conjunto de datos si la plantilla de inspección tuvo cambios.
Creación de perfiles de Amazon S3: Para cada bucket, espera 30 días y, luego, recrea el perfil si la plantilla de inspección tuvo cambios.

Cómo personalizar la frecuencia de la generación de perfiles

En la configuración de análisis, puedes personalizar la frecuencia de generación de perfiles nuevos creando uno o más programas para diferentes subconjuntos de tus datos.

Las siguientes frecuencias de perfilación están disponibles:

No volver a generar el perfil: Nunca vuelvas a generar el perfil después de que se generen los perfiles iniciales.
Volver a generar el perfil diariamente: Espera 24 horas antes de volver a generar el perfil.
Volver a generar el perfil semanalmente: Espera 7 días antes de volver a generar el perfil.
Volver a generar el perfil mensualmente: Espera 30 días antes de volver a generar el perfil.

Redefinición de perfiles según un programa

En la configuración de análisis, puedes especificar si se debe volver a perfilar un subconjunto de datos con regularidad, independientemente de si los datos sufrieron cambios. La frecuencia que establezcas especifica cuánto tiempo debe transcurrir entre las operaciones de generación de perfiles. Por ejemplo, si estableces la frecuencia en semanal, Sensitive Data Protection genera el perfil de un recurso de datos siete días después de la última vez que se generó el perfil.

Regeneración de perfiles durante la actualización

En la configuración de análisis, puedes especificar eventos que pueden activar operaciones de reasignación de perfiles. Algunos ejemplos de estos eventos son las actualizaciones de plantillas de inspección.

Cuando seleccionas estos eventos, el programa que configuras especifica el tiempo más prolongado que la Protección de datos sensibles espera a que se acumulen las actualizaciones antes de volver a perfilar tus datos. Si no se producen cambios aplicables, como cambios en el esquema o cambios en la plantilla de inspección, durante el período especificado, no se volverá a generar el perfil de ningún dato. Cuando se produce el siguiente cambio aplicable, los datos afectados se redefinen en la próxima oportunidad, que se determina en función de varios factores (como la capacidad de la máquina disponible o las unidades de suscripción compradas). Luego, la Protección de datos sensibles comienza a esperar a que se vuelvan a acumular actualizaciones según el programa establecido.

Por ejemplo, supongamos que la configuración de análisis está configurada para volver a generar el perfil mensualmente cuando cambia el esquema. Los perfiles de datos se crearon por primera vez el día 0. No se producen cambios en el esquema hasta el día 30, por lo que no se vuelve a generar el perfil de los datos. En el día 35, se produce el primer cambio de esquema. Sensitive Data Protection vuelve a generar el perfil de los datos actualizados en la próxima oportunidad. Luego, el sistema espera otros 30 días para que se acumulen las actualizaciones del esquema antes de volver a perfilar los datos actualizados.

Desde que comienza el perfilamiento, la operación puede tardar hasta 24 horas en completarse. Si la demora dura más de 24 horas y estás en el modo de precios de suscripción, confirma si tienes capacidad restante para el mes.

Para ver situaciones de ejemplo, consulta los ejemplos de precios de la generación de perfiles de datos.

Para forzar al servicio de descubrimiento a volver a crear el perfil de tus datos, consulta Cómo forzar una operación de reestructuración.

Generación de perfiles de rendimiento

El tiempo que se tarda en crear perfiles de tus datos varía según varios factores, incluidos, sin limitaciones, los siguientes:

Cantidad de recursos de datos a los que se les crea un perfil
Tamaños de los recursos de datos
Para las tablas, la cantidad de columnas
En el caso de las tablas, los tipos de datos de las columnas

Por lo tanto, el rendimiento de Sensitive Data Protection en una inspección o tarea de generación de perfiles anterior no es indicativo de cómo se comportará en tareas de generación de perfiles futuras.

Retención de perfiles de datos

La Protección de datos sensibles retiene la versión más reciente de un perfil de datos durante 13 meses. Cuando Sensitive Data Protection vuelve a crear el perfil de un recurso de datos, el sistema substituye los perfiles existentes de ese recurso de datos por otros nuevos.

En los siguientes ejemplos, supongamos que la frecuencia de generación de perfiles predeterminada para BigQuery está vigente:

El 1 de enero, Sensitive Data Protection genera el perfil de la tabla A. La tabla A no cambia durante más de un año, por lo que no se vuelve a perfilar. En este caso, la Protección de datos sensibles retiene los perfiles de datos de la tabla A durante 13 meses antes de borrarlos.
El 1 de enero, Sensitive Data Protection genera el perfil de la tabla A. Dentro del mes, un miembro de tu organización actualiza el esquema de esa tabla. Debido a este cambio, el mes siguiente, la Protección de datos sensibles vuelve a generar el perfil de la tabla A automáticamente. Los perfiles de datos generados recientemente reemplazan a los que se crearon en enero.

Para obtener información sobre cómo Sensitive Data Protection cobra por los datos de generación de perfiles, consulta Precios de descubrimiento.

Si deseas conservar los perfiles de datos de forma indefinida o mantener un registro de los cambios que experimentan, considera guardarlos en BigQuery cuando configures la generación de perfiles. Eliges en qué conjunto de datos de BigQuery guardar los perfiles y controlas la política de vencimiento de tablas de ese conjunto de datos.

Cómo anular las configuraciones de análisis

Solo puedes crear una configuración de análisis para cada combinación de alcance y tipo de descubrimiento. Por ejemplo, puedes crear solo una configuración de análisis a nivel de la organización para la creación de perfiles de datos de BigQuery y una configuración de análisis a nivel de la organización para el descubrimiento de secretos. Del mismo modo, puedes crear solo una configuración de análisis a nivel del proyecto para la creación de perfiles de datos de BigQuery y una configuración de análisis a nivel del proyecto para el descubrimiento de secretos.

Si dos o más configuraciones de análisis activo tienen el mismo proyecto y tipo de descubrimiento en su alcance, se aplican las siguientes reglas:

Entre las configuraciones de análisis a nivel de la organización y a nivel de la carpeta, la que esté más cerca del proyecto podrá ejecutar el descubrimiento para ese proyecto. Esta regla se aplica incluso si también existe una configuración de análisis a nivel del proyecto con el mismo tipo de descubrimiento.
La protección de datos sensibles trata las configuraciones de análisis a nivel del proyecto de forma independiente de las configuraciones a nivel de la organización y de la carpeta. Una configuración de análisis que creas a nivel del proyecto no puede anular una que crees para una carpeta o organización superior.

Considera el siguiente ejemplo, en el que hay tres configuraciones de análisis activo. Supongamos que todas estas configuraciones de análisis son para la generación de perfiles de datos de BigQuery.

Diagrama de una jerarquía de recursos con una configuración de análisis aplicada a una organización, una carpeta y un proyecto

Aquí, la Configuración de análisis 1 se aplica a toda la organización, la Configuración de análisis 2 se aplica a la carpeta Equipo B y al Configuración de análisis 3 se aplica al proyecto de Producción. En este ejemplo:

La Protección de datos sensibles genera perfiles de todas las tablas de los proyectos que no están en la carpeta Equipo B según la Configuración de análisis 1.
La Protección de datos sensibles genera perfiles de todas las tablas de los proyectos de la carpeta Equipo B, incluidas las tablas del proyecto Producción, según la Configuración de análisis 2.
La protección de datos sensibles genera perfiles de todas las tablas del proyecto Producción según la Scan configuration 3.

En este ejemplo, Sensitive Data Protection genera dos conjuntos de perfiles para el proyecto Producción: uno para cada una de las siguientes configuraciones de análisis:

Configuración de análisis 2
Configuración de análisis 3

Sin embargo, aunque hay dos conjuntos de perfiles para el mismo proyecto, no los ves todos juntos en tu panel. Solo verás los perfiles que se generaron en el recurso (organización, carpeta o proyecto) y la región que estás viendo.

Para obtener más información sobre la jerarquía de recursos de Google Cloud, consulta Jerarquía de recursos.

Instantáneas de perfiles de datos

Cada perfil de datos incluye una instantánea de la configuración del análisis y la plantilla de inspección que se usaron para generarlo. Puedes usar esta instantánea para verificar la configuración que usaste para generar un perfil de datos en particular.

Consideraciones sobre la residencia de los datos de Google Cloud

Esta sección solo se aplica al descubrimiento de datos sensibles para los recursos de Google Cloud. Para conocer las consideraciones de residencia de datos relacionadas con los datos de Amazon S3, consulta Descubrimiento de datos sensibles para los datos de Amazon S3.

Sensitive Data Protection está diseñado para admitir la residencia de datos. Si debes cumplir con los requisitos de residencia de datos, ten en cuenta los siguientes puntos:

Plantillas de inspección regionales

Sensitive Data Protection procesa tus datos en la misma región donde se almacenan. Es decir, tus datos no salen de su región actual.

Además, una plantilla de inspección solo se puede usar para generar perfiles de datos que se encuentren en la misma región que esa plantilla. Por ejemplo, si configuras el descubrimiento para usar una plantilla de inspección que se almacena en la región us-west1, Sensitive Data Protection solo puede generar perfiles de datos en esa región.

Puedes establecer una plantilla de inspección específica para cada región en la que tengas datos. Si proporcionas una plantilla de inspección que se almacena en la región global, Sensitive Data Protection usará esa plantilla para los datos en regiones que no tienen una plantilla de inspección dedicada.

En la siguiente tabla, se proporcionan ejemplos de situaciones:

Situación	Asistencia
Analiza los datos de la región `us` con una plantilla de inspección de la región `us`.	Admitido
Analiza los datos de la región `global` con una plantilla de inspección de la región `us`.	No compatible
Analiza los datos de la región `us` con una plantilla de inspección de la región `global`.	Admitido
Analiza los datos de la región `us` con una plantilla de inspección de la región `us-east1`.	No compatible
Analiza los datos de la región `us-east1` con una plantilla de inspección de la región `us`.	No compatible
Analiza los datos de la región `us` con una plantilla de inspección de la región `asia`.	No compatible

Configuración del perfil de datos

Cuando la Protección de datos sensibles crea perfiles de datos, toma una instantánea de la configuración de análisis y la plantilla de inspección, y las almacena en cada perfil de datos de la tabla o perfil de datos del almacén de archivos. Si configuras el descubrimiento para usar una plantilla de inspección de la región global, Sensitive Data Protection copia esa plantilla en cualquier región que tenga datos para crear perfiles. De manera similar, copia la configuración de análisis en esas regiones.

Considera este ejemplo: El proyecto A contiene la tabla 1. La tabla 1 está en la región us-west1, la configuración del análisis está en la región us-west2 y la plantilla de inspección está en la región global.

Cuando Sensitive Data Protection analiza el proyecto A, crea perfiles de datos para la Tabla 1 y los almacena en la región us-west1. El perfil de datos de la tabla de la tabla 1 contiene copias de la configuración de análisis y la plantilla de inspección que se usó en la operación de generación de perfiles.

Si no quieres que se copie tu plantilla de inspección en otras regiones, no configures la Protección de datos sensibles para analizar datos en esas regiones.

Almacenamiento regional de perfiles de datos

La Protección de datos sensibles procesa tus datos en la región o multirregión en la que residen y almacena los perfiles de datos generados en la misma región o multirregión.

Para ver los perfiles de datos en la consola de Google Cloud, primero debes seleccionar la región en la que residen. Si tienes datos en varias regiones, debes cambiar de región para ver cada conjunto de perfiles.

Regiones no admitidas

Si tienes datos en una región que Sensitive Data Protection no admite, el servicio de descubrimiento omite esos recursos de datos y muestra un error cuando ves los perfiles de datos.

Multirregiones

La Protección de Datos Sensibles trata una multirregión como una región, y no como un conjunto de regiones. Por ejemplo, la multirregión us y la región us-west1 se tratan como dos regiones independientes en lo que respecta a la residencia de datos.

Recursos zonales

Sensitive Data Protection es un servicio regional y multirregional, y no distingue entre zonas. En el caso de un recurso zonal compatible, como una instancia de Cloud SQL, los datos se procesan en su región actual, pero no necesariamente en su zona actual. Por ejemplo, si una instancia de Cloud SQL se almacena en la zona us-central1-a, Sensitive Data Protection procesa y almacena los perfiles de datos en la región us-central1.

Para obtener información general sobre las ubicaciones de Google Cloud, consulta Geografía y regiones.

Cumplimiento

Para obtener información sobre cómo Sensitive Data Protection maneja tus datos y te ayuda a satisfacer los requisitos de cumplimiento, consulta Seguridad de los datos.

¿Qué sigue?

Lee la entrada de blog de Identidad y seguridad Administración automática de riesgos de datos para BigQuery con Protección de datos sensibles.
Obtén información para estimar el costo de la generación de perfiles de datos.
Obtén información para generar perfiles de datos a nivel de la organización, la carpeta o el proyecto.
Obtén información sobre cómo Sensitive Data Protection calcula el riesgo de datos y los niveles de sensibilidad cuando crea perfiles de tus datos.
Obtén información para solucionar los resultados del descubrimiento.
Obtén más información para solucionar problemas con el generador de perfiles de datos.