Desidentificar y reidentificar datos sensibles
El proceso que se describe en esta guía de inicio rápido se denomina seudonimización (o asignación de token). En este proceso, la protección de datos sensibles usa una clave criptográfica para convertir (desidentificar) texto sensible en un token. Para restablecer (volver a identificar) ese texto, necesitas la clave criptográfica que usaste durante la desidentificación y el token.
La protección de datos sensibles admite métodos criptográficos reversibles y no reversibles. Para volver a identificar el contenido, debes elegir un método reversible.
El método criptográfico descrito aquí se denomina encriptación determinista mediante AES-SIV (estándar de encriptación avanzada en modo de vector de inicialización sintética). Recomendamos esta opción, entre todos los métodos criptográficos reversibles que admite la protección de datos sensibles, ya que proporciona el nivel más alto de seguridad.
Puedes completar los pasos en este tema en 10 a 20 minutos, sin incluir los pasos de Antes de comenzar.
Antes de comenzar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Sensitive Data Protection and Cloud KMS APIs:
gcloud services enable dlp.googleapis.com
cloudkms.googleapis.com -
Grant roles to your user account. Run the following command once for each of the following IAM roles:
roles/dlp.user
gcloud projects add-iam-policy-binding PROJECT_ID --member="USER_IDENTIFIER" --role=ROLE
- Replace
PROJECT_ID
with your project ID. -
Replace
USER_IDENTIFIER
with the identifier for your user account. For example,user:myemail@example.com
. - Replace
ROLE
with each individual role.
- Replace
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Sensitive Data Protection and Cloud KMS APIs:
gcloud services enable dlp.googleapis.com
cloudkms.googleapis.com -
Grant roles to your user account. Run the following command once for each of the following IAM roles:
roles/dlp.user
gcloud projects add-iam-policy-binding PROJECT_ID --member="USER_IDENTIFIER" --role=ROLE
- Replace
PROJECT_ID
with your project ID. -
Replace
USER_IDENTIFIER
with the identifier for your user account. For example,user:myemail@example.com
. - Replace
ROLE
with each individual role.
- Replace
Paso 1: Crea un llavero de claves y una clave
Antes de comenzar este procedimiento, decide dónde quieres que la protección de datos sensibles procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global
o en la misma región que usarás para las solicitudes de protección de datos sensibles.
De lo contrario, fallarán las solicitudes de protección de datos sensibles.
Puedes encontrar una lista de las ubicaciones admitidas en Ubicaciones de la protección de datos sensibles. Anota el nombre de la región que elegiste (por ejemplo, us-west1
).
En este procedimiento, se usa global
como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global
por el nombre de la región.
Crea un llavero de claves
gcloud kms keyrings create "dlp-keyring" \ --location "global"
Crea una clave:
gcloud kms keys create "dlp-key" \ --location "global" \ --keyring "dlp-keyring" \ --purpose "encryption"
Enumera el llavero de claves y la clave:
gcloud kms keys list \ --location "global" \ --keyring "dlp-keyring"
Obtendrás el siguiente resultado:
NAME PURPOSE ALGORITHM PROTECTION_LEVEL LABELS PRIMARY_ID PRIMARY_STATE projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key ENCRYPT_DECRYPT GOOGLE_SYMMETRIC_ENCRYPTION SOFTWARE 1 ENABLED
En este resultado,
PROJECT_ID
es el ID de tu proyecto.La ruta en
NAME
es el nombre completo del recurso de tu clave de Cloud KMS. Anota esto, puesto que las solicitudes de desidentificación y reidentificación lo requieren.
Paso 2: Crea una clave AES codificada en base64
En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.
Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza
openssl
para crear una clave de 256 bits en el directorio actual:openssl rand -out "./aes_key.bin" 32
El archivo
aes_key.bin
se agrega a tu directorio actual.Codifica la clave AES como una string de base64:
base64 -i ./aes_key.bin
Obtendrás un resultado similar al siguiente:
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
Paso 3: Une la clave AES con la clave de Cloud KMS
En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en el Paso 1 para unir la clave AES codificada en base64 que creaste en el Paso 2.
Para unir la clave AES, usa curl
a fin de enviar la siguiente solicitud a la API de Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
--request "POST" \
--header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
--header "content-type: application/json" \
--data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"
Reemplaza lo siguiente:
PROJECT_ID
: es el ID de tu proyecto.BASE64_ENCODED_AES_KEY
: la string codificada en base64 que se muestra en el Paso 2.
La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:
{ "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1", "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=", "ciphertextCrc32c": "901327763", "protectionLevel": "SOFTWARE" }
En este resultado, PROJECT_ID
es el ID de tu proyecto.
Anota el valor de ciphertext
en la respuesta que obtienes.
Esa es tu clave unida.
Paso 4: Envía una solicitud de desidentificación a la API de DLP
En esta sección, se describe cómo desidentificar datos sensibles en el contenido de texto.
Para completar esta tarea, necesitas lo siguiente:
- El nombre completo del recurso de la clave de Cloud KMS que creaste en el Paso 1.
- La clave unida que creaste en el Paso 3.
Para esta sección, debes guardar la solicitud de muestra en un archivo JSON. Si usas Cloud Shell, puedes usar el editor de Cloud Shell para crear el archivo. Para iniciar el editor, haz clic en
Abrir editor en la barra de herramientas de la ventana de Cloud Shell.Para desidentificar datos sensibles en el contenido de texto, sigue estos pasos:
Crea un archivo de solicitud JSON con el siguiente texto.
{ "item": { "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com." }, "deidentifyConfig": { "infoTypeTransformations": { "transformations": [ { "infoTypes": [ { "name": "EMAIL_ADDRESS" } ], "primitiveTransformation": { "cryptoDeterministicConfig": { "cryptoKey": { "kmsWrapped": { "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key", "wrappedKey": "WRAPPED_KEY" } }, "surrogateInfoType": { "name": "EMAIL_ADDRESS_TOKEN" } } } } ] } }, "inspectConfig": { "infoTypes": [ { "name": "EMAIL_ADDRESS" } ] } }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID de tu proyecto.WRAPPED_KEY
: Es la clave unida que creaste en el Paso 3.
Asegúrate de que el valor resultante de
cryptoKeyName
forma el nombre completo del recurso de tu clave de Cloud KMS.Para obtener más información sobre los componentes de esta solicitud JSON, consulta
projects.locations.content.deidentify
. Después de completar esta guía de inicio rápido, intenta experimentar con diferentes entradas para esta solicitud. Puedes usarcurl
como se describe aquí. Como alternativa, puedes usar el Explorador de API en esa página de referencia de la API en Prueba esta API.Guarda el archivo como
deidentify-request.json
.Usa
curl
para realizar una solicitudprojects.locations.content.deidentify
:curl -s \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:deidentify \ -d @deidentify-request.json
Reemplaza
PROJECT_ID
por el ID de tu proyecto.Para pasar un nombre de archivo a
curl
, usa la opción-d
(para datos) y coloca un signo@
antes del nombre. Este archivo debe estar en el mismo directorio en el que ejecutaste el comandocurl
.La respuesta que obtienes de la protección de datos sensibles es similar al siguiente JSON:
{ "item": { "value": "My name is Alicia Abernathy, and my email address is EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q." }, "overview": { "transformedBytes": "22", "transformationSummaries": [ { "infoType": { "name": "EMAIL_ADDRESS" }, "transformation": { "cryptoDeterministicConfig": { "cryptoKey": { "kmsWrapped": { "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=", "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key" } }, "surrogateInfoType": { "name": "EMAIL_ADDRESS_TOKEN" } } }, "results": [ { "count": "1", "code": "SUCCESS" } ], "transformedBytes": "22" } ] } }
En el campo
item
, la dirección de correo electrónico se reemplaza por un token comoEMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q
. Para volver a identificar este contenido, debes pasar el token completo en la solicitud de reidentificación.
Paso 5: Envía una solicitud de reidentificación a la API de DLP
En esta sección, se describe cómo reidentificar datos con asignación de token en el contenido de texto.
Para completar esta tarea, necesitas lo siguiente:
- El nombre completo del recurso de la clave de Cloud KMS que creaste en el Paso 1.
- La clave unida que creaste en el Paso 3.
- El token que recibiste en el Paso 4.
Para volver a identificar el contenido con tokens, sigue estos pasos:
Crea un archivo de solicitud JSON con el siguiente texto.
{ "reidentifyConfig":{ "infoTypeTransformations":{ "transformations":[ { "infoTypes":[ { "name":"EMAIL_ADDRESS_TOKEN" } ], "primitiveTransformation":{ "cryptoDeterministicConfig":{ "cryptoKey":{ "kmsWrapped": { "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key", "wrappedKey": "WRAPPED_KEY" } }, "surrogateInfoType":{ "name":"EMAIL_ADDRESS_TOKEN" } } } } ] } }, "inspectConfig":{ "customInfoTypes":[ { "infoType":{ "name":"EMAIL_ADDRESS_TOKEN" }, "surrogateType":{ } } ] }, "item":{ "value": "My name is Alicia Abernathy, and my email address is TOKEN." } }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID de tu proyecto.WRAPPED_KEY
: Es la clave unida que creaste en el Paso 3.TOKEN
: El token que recibiste en el Paso 4, por ejemplo,EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q
.
Asegúrate de que el valor resultante de
cryptoKeyName
forma el nombre completo del recurso de tu clave de Cloud KMS.Para obtener más información sobre los componentes de esta solicitud JSON, consulta
projects.locations.content.reidentify
. Después de completar esta guía de inicio rápido, intenta experimentar con diferentes entradas para esta solicitud. Puedes usarcurl
como se describe aquí. Como alternativa, puedes usar el Explorador de API en esa página de referencia de la API en Prueba esta API.Guarda el archivo como
reidentify-request.json
.Usa
curl
para realizar una solicitudprojects.locations.content.reidentify
:curl -s \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:reidentify \ -d @reidentify-request.json
Reemplaza
PROJECT_ID
por el ID de tu proyecto.Para pasar un nombre de archivo a
curl
, usa la opción-d
(para datos) y coloca un signo@
antes del nombre. Este archivo debe estar en el mismo directorio en el que ejecutaste el comandocurl
.La respuesta que obtienes de la protección de datos sensibles es similar al siguiente JSON:
{ "item": { "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com." }, "overview": { "transformedBytes": "70", "transformationSummaries": [ { "infoType": { "name": "EMAIL_ADDRESS" }, "transformation": { "cryptoDeterministicConfig": { "cryptoKey": { "kmsWrapped": { "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=", "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key" } }, "surrogateInfoType": { "name": "EMAIL_ADDRESS_TOKEN" } } }, "results": [ { "count": "1", "code": "SUCCESS" } ], "transformedBytes": "70" } ] } }
En el campo
item
, el token de dirección de correo electrónico se reemplaza por la dirección de correo electrónico real del texto original.Acabas de desidentificar y volver a identificar datos sensibles en el contenido de texto con una encriptación determinista.
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que se usaron en esta página, borra el proyecto de Cloud que tiene los recursos.
Destruye tu versión de clave
Si ya no quieres usar la clave que creaste en esta guía de inicio rápido, destruye su versión.
Crea una lista de versiones disponibles para tu clave:
gcloud kms keys versions list \
--location "global" \
--keyring "dlp-keyring" \
--key "dlp-key"
Para destruir una versión, ejecuta el siguiente comando:
gcloud kms keys versions destroy KEY_VERSION \
--location "global" \
--keyring "dlp-keyring" \
--key "dlp-key"
Reemplaza KEY_VERSION
por el número de la versión que se destruirá.
Borra el proyecto
Si creaste un proyecto nuevo para esta guía de inicio rápido, la forma más fácil de evitar cargos adicionales es borrarlo.
Delete a Google Cloud project:
gcloud projects delete PROJECT_ID
Revocar tus credenciales
Optional: Revoke credentials from the gcloud CLI.
gcloud auth revoke
¿Qué sigue?
- Para obtener información más detallada sobre cómo desidentificar contenido sensible, consulta Desidentifica datos sensibles.
- Para obtener información sobre cómo se adapta un flujo de trabajo de desidentificación a las implementaciones en la vida real, consulta Desidentificación y reidentificación de PII en conjuntos de datos a gran escala mediante la protección de datos sensibles.
- Para obtener información conceptual sobre la asignación de token de datos a través de una clave criptográfica, consulta Seudonimización.