Anonymiser les données sensibles stockées dans Cloud Storage à l'aide de Google Cloud Console

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.
{}

Cette page explique comment inspecter un répertoire Cloud Storage et créer des copies anonymisées des fichiers compatibles à l'aide de Cloud Data Loss Prevention dans la console Google Cloud.

Cette opération permet de garantir que les fichiers que vous utilisez dans vos processus d'entreprise ne contiennent pas de données sensibles, telles que des informations personnelles. Cloud Data Loss Prevention peut inspecter les fichiers d'un bucket Cloud Storage à la recherche de données sensibles et créer des copies anonymisées de ces fichiers dans un bucket distinct. Vous pouvez ensuite utiliser des copies anonymisées dans vos processus métier.

Pour en savoir plus sur ce qui se passe lorsque vous anonymisez des données dans le stockage, consultez la page Anonymiser des données sensibles dans le stockage.

Avant de commencer

Cette page part du principe que:

Découvrez les limites et points de considération concernant cette opération.

L'inspection du stockage nécessite le champ d'application OAuth suivant : https://www.googleapis.com/auth/cloud-platform. Pour en savoir plus, consultez la page S'authentifier sur l'API DLP.

Rôles IAM requis

Si toutes les ressources de cette opération appartiennent au même projet, le rôle Agent de service de l'API DLP (roles/dlp.serviceAgent) sur l'agent de service est suffisant. Ce rôle vous permet d'effectuer les opérations suivantes:

  • Créer la tâche d'inspection
  • Lire les fichiers dans le répertoire d'entrée
  • Écrire les fichiers anonymisés dans le répertoire de sortie
  • Écrire les détails de la transformation dans une table BigQuery

Les ressources concernées incluent la tâche d'inspection, les modèles de suppression de l'identification, le bucket d'entrée, le bucket de sortie et la table des détails de la transformation.

Si vous devez disposer des ressources dans des projets distincts, assurez-vous que l'agent de service de votre projet dispose également des rôles suivants:

  • Le rôle Lecteur des objets Storage (roles/storage.objectViewer) sur le bucket d'entrée ou le projet qui le contient.
  • Le rôle Créateur d'objets Storage (roles/storage.objectCreator) sur le bucket de sortie ou le projet qui le contient.
  • Le rôle Éditeur de données BigQuery (roles/bigquery.dataEditor) sur la table de détails de la transformation ou le projet qui le contient.

Pour attribuer un rôle à votre agent de service, qui est un compte de service géré par Google, consultez Attribuer un seul rôle. Vous pouvez également contrôler les accès aux niveaux suivants:

Présentation

Pour supprimer l'identification du contenu stocké dans Cloud Storage, vous devez configurer une tâche d'inspection qui recherche des données sensibles selon les critères que vous spécifiez. Ensuite, dans la tâche d'inspection, activez l'action Anonymiser les résultats. Vous pouvez définir des modèles d'anonymisation qui déterminent comment Cloud DLP doit transformer les résultats. Si vous ne fournissez aucun modèle d'anonymisation, Cloud DLP transforme les résultats comme décrit dans la section Comportement d'anonymisation par défaut.

Si vous activez l'action Supprimer l'identification des résultats, Cloud DLP transforme tous les types de fichiers compatibles inclus dans l'analyse. Toutefois, vous pouvez configurer la tâche pour qu'elle ne transforme qu'un sous-ensemble des types de fichiers compatibles.

Facultatif: Créer des modèles d'anonymisation

Si vous souhaitez contrôler la transformation des résultats, créez les modèles suivants. Ces modèles fournissent des instructions sur la transformation des résultats dans les fichiers structurés, non structurés et les images.

  • Modèle d'anonymisation : modèle d'anonymisation par défaut à utiliser pour les fichiers non structurés, tels que les fichiers texte à forme libre. Ce type de modèle d'anonymisation ne peut pas contenir de transformations d'enregistrement qui ne sont compatibles qu'avec le contenu structuré. En l'absence de ce modèle, Cloud DLP transforme les fichiers non structurés à l'aide de la méthode de remplacement des infoTypes.

  • Modèle d'anonymisation structuré:modèle à utiliser pour les fichiers structurés, tels que les fichiers CSV. Ce modèle d'anonymisation peut contenir des transformations d'enregistrement. Si ce modèle n'est pas présent, Cloud DLP utilise le modèle d'anonymisation par défaut que vous avez créé. Si ce n'est pas le cas, Cloud DLP transforme les fichiers structurés à l'aide de la méthode de remplacement de l'infoType.

  • Modèle de masquage d'images : modèle d'anonymisation à utiliser pour les images. Si ce modèle n'est pas présent, Cloud DLP masque tous les résultats dans les images avec une zone noire.

Découvrez comment créer un modèle d'anonymisation.

Créer une tâche d'inspection avec une action d'anonymisation

  1. Dans Google Cloud Console, accédez à la page Créer une tâche ou un déclencheur de tâche.

    Accéder à la page "Créer une tâche ou un déclencheur de tâche"

  2. Saisissez les informations sur la tâche Cloud DLP, puis cliquez sur Continuer à chaque étape.

Les sections suivantes décrivent comment remplir les sections pertinentes de la page.

Choisir les données d'entrée

Dans la section Sélectionner des données d'entrée, procédez comme suit:

  1. Facultatif: Dans le champ Nom, saisissez un identifiant pour la tâche d'inspection.
  2. Dans le champ Emplacement des ressources, sélectionnez Global ou la région dans laquelle vous souhaitez stocker la tâche d'inspection.
  3. Dans le champ Emplacement, sélectionnez Google Cloud Storage.
  4. Pour URL, saisissez le chemin d'accès au répertoire d'entrée. Le répertoire d'entrée contient les données que vous souhaitez analyser, par exemple gs://input-bucket/folder1/folder1a. Si vous souhaitez analyser le répertoire d'entrée de manière récursive, ajoutez une barre oblique à la fin de l'URL, puis sélectionnez Analyser de manière récursive.
  5. Dans la section Échantillonnage de la liste Méthode d'échantillonnage, sélectionnez Aucun échantillonnage.

    L'échantillonnage n'est pas compatible avec les tâches ni les déclencheurs de tâches configurés avec l'anonymisation.

Configurer la détection

Dans la section Configurer la détection, sélectionnez les types de données sensibles à inspecter. Ces éléments sont appelés infoTypes. Vous pouvez effectuer votre sélection dans la liste des infoTypes prédéfinis ou sélectionner un modèle, le cas échéant. Pour en savoir plus, consultez la section Configurer la détection.

Ajouter des actions

Dans la section Ajouter des actions:

  1. Activez l'option Anonymiser les résultats.
  2. Facultatif: Pour Modèle d'anonymisation, saisissez le nom complet de la ressource du modèle d'anonymisation par défaut si vous en avez créé un.
  3. Facultatif: Pour Modèle d'anonymisation structuré, saisissez le nom complet de la ressource du modèle d'anonymisation des fichiers structurés, le cas échéant. Si ce n'est pas le cas, Cloud DLP utilise le modèle par défaut si vous en avez créé un.
  4. Facultatif: Pour Modèle de masquage d'image, saisissez le nom complet de la ressource du modèle de masquage des images si vous en avez créé un.
  5. Facultatif: Si vous souhaitez que Cloud DLP stocke les détails de la transformation dans une table BigQuery, sélectionnez Exporter les détails de la transformation vers BigQuery, puis renseignez les champs suivants:

    • ID du projet : le projet contenant la table BigQuery.
    • ID de l'ensemble de données: ensemble de données contenant la table BigQuery.
    • ID de la table : la table dans laquelle Cloud DLP doit stocker les détails de chaque transformation. Cloud DLP crée cette table avec l'ID de table que vous fournissez. Si vous ne fournissez pas d'ID de table, le système en crée un automatiquement.

    Ce tableau ne stocke pas le contenu anonymisé.

    Lorsque des données sont écrites dans une table BigQuery, l'utilisation de la facturation et des quotas est appliquée au projet contenant la table de destination.

  6. Dans le champ Emplacement de sortie Cloud Storage, saisissez l'URL du répertoire Cloud Storage dans lequel vous souhaitez stocker les fichiers anonymisés. Ce répertoire ne doit pas se trouver dans le même bucket Cloud Storage que le répertoire d'entrée.

  7. Facultatif: Dans Types de fichiers, sélectionnez les types de fichiers que vous souhaitez transformer.

Pour en savoir plus sur les autres actions que vous pouvez ajouter, consultez Ajouter des actions.

Planification

Dans la section Programmation, indiquez si vous souhaitez que cette tâche soit récurrente:

  • Pour exécuter l'analyse une seule fois, laissez le champ défini sur None (Aucune).
  • Pour planifier des analyses à exécuter périodiquement, cliquez sur Créer un déclencheur pour exécuter la tâche selon une programmation régulière.

Pour en savoir plus, consultez Programmation.

Récapitulatif

  1. Dans la section Programmation, examinez la configuration de la tâche et, si nécessaire, modifiez-la.

  2. Cliquez sur Créer.

Si vous avez choisi de ne pas planifier la tâche, Cloud DLP commence immédiatement à l'exécuter. Une fois la tâche terminée, le système vous redirige vers la page Informations sur la tâche, où vous pouvez afficher les résultats des opérations d'inspection et d'anonymisation.

Si vous avez choisi d'exporter les détails de la transformation vers une table BigQuery, celle-ci est insérée. Il contient une ligne pour chaque transformation effectuée par Cloud DLP. Pour chaque transformation, les détails incluent une description, un code de réussite ou d'erreur, les détails de l'erreur, le nombre d'octets transformés, l'emplacement du contenu transformé et le nom de la tâche d'inspection dans laquelle Cloud DLP a effectué la transformation. Ce tableau ne contient pas de contenu anonymisé.

Vérifier que les fichiers ont été anonymisés

  1. Sur la page Job details (Détails de la tâche), cliquez sur l'onglet Configuration.
  2. Pour afficher les fichiers anonymisés dans le répertoire de sortie, cliquez sur le lien dans le champ Bucket de sortie pour les données Cloud Storage anonymisées.
  3. Pour afficher la table BigQuery contenant les détails de la transformation, cliquez sur le lien dans le champ Détails de la transformation.

    Pour savoir comment interroger une table BigQuery, consultez la page Exécuter des requêtes interactives.

Étapes suivantes