Creare copie anonimizzate dei dati archiviati in Cloud Storage utilizzando la console Google Cloud

Questa pagina descrive come ispezionare una directory Cloud Storage e creare copie anonimizzate dei file supportati, utilizzando Sensitive Data Protection nella console Google Cloud.

Questa operazione aiuta a garantire che i file utilizzati nei processi aziendali non contengano dati sensibili, come le informazioni che consentono l'identificazione personale (PII). Sensitive Data Protection può esaminare i file in un bucket Cloud Storage per i dati sensibili e creare copie anonimizzate di questi file in un bucket separato. Puoi quindi utilizzare le copie anonimizzate nei tuoi processi aziendali.

Per saperne di più su cosa succede quando anonimizzi i dati nello spazio di archiviazione, consulta Anonimizzazione dei dati sensibili nello spazio di archiviazione.

Prima di iniziare

Questa pagina presuppone quanto segue:

Scopri di più sulle limitazioni e sui punti di considerazione per questa operazione.

L'ispezione dell'archiviazione richiede il seguente ambito OAuth: https://www.googleapis.com/auth/cloud-platform. Per maggiori informazioni, consulta Autenticazione nell'API DLP.

Ruoli IAM obbligatori

Se tutte le risorse per questa operazione si trovano nello stesso progetto, il ruolo Agente di servizio API DLP (roles/dlp.serviceAgent) nell'agente di servizio è sufficiente. Questo ruolo ti consente di:

  • Crea il job di ispezione
  • Leggi i file nella directory di input
  • Scrivi i file anonimizzati nella directory di output
  • Scrivi i dettagli della trasformazione in una tabella BigQuery

Le risorse pertinenti includono il job di ispezione, i modelli di anonimizzazione, il bucket di input, il bucket di output e la tabella dei dettagli della trasformazione.

Se devi disporre delle risorse in progetti separati, assicurati che l'agente di servizio del progetto disponga anche dei ruoli seguenti:

  • Il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) nel bucket di input o nel progetto che lo contiene.
  • Il ruolo Creatore oggetti Storage (roles/storage.objectCreator) nel bucket di output o nel progetto che lo contiene.
  • Il ruolo Editor dati BigQuery (roles/bigquery.dataEditor) nella tabella dei dettagli della trasformazione o nel progetto che la contiene.

Per concedere un ruolo all'agente di servizio, ossia un account di servizio gestito da Google, consulta Concedere un singolo ruolo. Puoi anche controllare l'accesso ai seguenti livelli:

Panoramica

Per creare copie anonimizzate dei tuoi file Cloud Storage, devi configurare un job di ispezione che cerca i dati sensibili in base ai criteri da te specificati. Quindi, all'interno del job di ispezione, abiliti l'azione Crea una copia anonimizzata. Puoi impostare modelli di anonimizzazione che stabiliscono in che modo Sensitive Data Protection deve trasformare i risultati. Se non fornisci alcun modello di anonimizzazione, Sensitive Data Protection trasforma i risultati come descritto in Comportamento di anonimizzazione predefinito.

Se abiliti l'azione Crea una copia anonimizzata, per impostazione predefinita Sensitive Data Protection trasforma tutti i tipi di file supportati inclusi nella scansione. Tuttavia, puoi configurare il job in modo da trasformare solo un sottoinsieme dei tipi di file supportati.

(Facoltativo) Creare modelli di anonimizzazione

Se vuoi controllare in che modo i risultati vengono trasformati, crea i seguenti modelli. Questi modelli forniscono istruzioni su come trasformare i risultati in file strutturati, file non strutturati e immagini.

  • Modello di anonimizzazione: un modello di anonimizzazione predefinito da utilizzare per i file non strutturati, come i file di testo in formato libero. Questo tipo di modello di anonimizzazione non può contenere trasformazioni dei record, che sono supportate solo per i contenuti strutturati. Se questo modello non è presente, Sensitive Data Protection utilizza il metodo di sostituzione dell'infoType per trasformare i file non strutturati.

  • Modello di anonimizzazione strutturato: un modello di anonimizzazione da utilizzare per i file strutturati, ad esempio i file CSV. Questo modello di anonimizzazione può contenere trasformazioni di record. Se questo modello non è presente, la protezione dei dati sensibili utilizza il modello di anonimizzazione predefinito che hai creato. Se anche questo non è presente, Sensitive Data Protection utilizza il metodo di sostituzione infoType per trasformare i file strutturati.

  • Modello di oscuramento delle immagini: un modello di anonimizzazione da utilizzare per le immagini. Se questo modello non è presente, Sensitive Data Protection oscura tutti i risultati nelle immagini con una casella nera.

Scopri come creare un modello di anonimizzazione.

Crea un job di ispezione con un'azione di anonimizzazione

  1. Nella console Google Cloud, vai alla pagina Crea job o trigger di job.

    Vai a Crea job o trigger di job

  2. Inserisci le informazioni del job di Sensitive Data Protection e fai clic su Continua per completare ogni passaggio.

Le seguenti sezioni descrivono come compilare le sezioni pertinenti della pagina.

Scegli dati di input

Nella sezione Scegli dati di input, procedi nel seguente modo:

  1. (Facoltativo) In Nome, inserisci un identificatore per il job di ispezione.
  2. Per Località della risorsa, seleziona Globale o la regione in cui vuoi archiviare il job di ispezione.
  3. In Località, seleziona Google Cloud Storage.
  4. In URL, inserisci il percorso della directory di input. La directory di input contiene i dati di cui eseguire la scansione, ad esempio gs://input-bucket/folder1/folder1a. Se vuoi eseguire la scansione ricorsiva della directory di input, aggiungi una barra finale all'URL, quindi seleziona Esegui scansione ricorsiva.

  5. Nella sezione Campionamento, nell'elenco Metodo di campionamento, seleziona Nessun campionamento.

    Il campionamento non è supportato sui job e sui trigger di job configurati con l'anonimizzazione.

Configura il rilevamento

Nella sezione Configura rilevamento, scegli i tipi di dati sensibili da esaminare. Questi sono chiamati infoTypes. Puoi selezionarlo dall'elenco di infoType predefiniti o selezionare un modello, se esistente. Per maggiori dettagli, consulta Configurare il rilevamento.

Aggiungi azioni

Nella sezione Aggiungi azioni, procedi nel seguente modo:

  1. Attiva Crea una copia anonimizzata.
  2. (Facoltativo) Per Modello di anonimizzazione, inserisci il nome completo della risorsa del modello di anonimizzazione predefinito, se ne hai creato uno.
  3. (Facoltativo) Per Modello di anonimizzazione strutturato, inserisci il nome completo della risorsa del modello di anonimizzazione per i file strutturati, se ne hai creato uno. In caso contrario, Sensitive Data Protection utilizza il modello predefinito, se ne hai creato uno.
  4. (Facoltativo) Per Modello di oscuramento delle immagini, inserisci il nome completo della risorsa del modello di oscuramento delle immagini, se ne hai creato uno.

  5. (Facoltativo) Se vuoi che Sensitive Data Protection archivi i dettagli della trasformazione in una tabella BigQuery, seleziona Esporta i dettagli della trasformazione in BigQuery e compila i seguenti campi:

    • ID progetto: il progetto che contiene la tabella BigQuery.
    • ID set di dati: il set di dati contenente la tabella BigQuery.
    • ID tabella: la tabella in cui Sensitive Data Protection deve archiviare i dettagli di ogni trasformazione. Sensitive Data Protection crea questa tabella con l'ID tabella da te fornito. Se non fornisci un ID tabella, il sistema ne crea automaticamente uno.

    Questa tabella non archivia gli effettivi contenuti anonimizzati.

    Quando i dati vengono scritti in una tabella BigQuery, l'utilizzo delle quote e della fatturazione viene applicato al progetto che contiene la tabella di destinazione.

  6. Per Percorso di output di Cloud Storage, inserisci l'URL della directory Cloud Storage in cui vuoi archiviare i file anonimizzati. Questa directory non deve trovarsi nello stesso bucket Cloud Storage della directory di input.

  7. (Facoltativo) Per Tipi di file, seleziona i tipi di file che vuoi trasformare.

Per ulteriori informazioni sulle altre azioni che puoi aggiungere, consulta la sezione Aggiungere azioni.

Pianificazione

Nella sezione Pianificazione, specifica se vuoi rendere questo job un job ricorrente:

  • Per eseguire la scansione una sola volta, lascia il campo impostato su None.
  • Per pianificare l'esecuzione periodica delle scansioni, fai clic su Crea un trigger per eseguire il job in base a una pianificazione periodica.

Per ulteriori informazioni, consulta la sezione Programmazione.

riepilogo

  1. Nella sezione Pianificazione, rivedi la configurazione del job e, se necessario, modifica il job.

  2. Fai clic su Crea.

Se hai scelto di non pianificare il job, Sensitive Data Protection ne inizia immediatamente l'esecuzione. Al termine del job, il sistema ti reindirizza alla pagina Dettagli job, dove puoi visualizzare i risultati delle operazioni di ispezione e anonimizzazione.

Se hai scelto di esportare i dettagli della trasformazione in una tabella BigQuery, la tabella viene completata. Contiene una riga per ogni trasformazione effettuata da Sensitive Data Protection. Per ogni trasformazione, i dettagli includono una descrizione, un codice di operazione riuscita o di errore, eventuali dettagli dell'errore, il numero di byte trasformati, la posizione dei contenuti trasformati e il nome del job di ispezione in cui Sensitive Data Protection ha eseguito la trasformazione. Questa tabella non contiene gli effettivi contenuti anonimizzati.

Conferma che i file sono stati anonimizzati

  1. Nella pagina Dettagli job, fai clic sulla scheda Configurazione.
  2. Per visualizzare i file anonimizzati nella directory di output, fai clic sul link nel campo Bucket di output per dati Cloud Storage anonimizzati.

  3. Per visualizzare la tabella BigQuery contenente i dettagli della trasformazione, fai clic sul link nel campo Dettagli trasformazione.

    Per informazioni su come eseguire query su una tabella BigQuery, consulta Esecuzione di query interattive.

Passaggi successivi