이제 Cloud Data Loss Prevention(Cloud DLP)은 민감한 정보 보호에 포함됩니다. API 이름은 Cloud Data Loss Prevention API(DLP API)로 그대로 유지됩니다. 민감한 정보 보호를 구성하는 서비스에 대한 자세한 내용은 민감한 정보 보호 개요를 참조하세요.

민감한 정보 익명화 및 재식별

이 빠른 시작에서는 민감한 정보 보호를 사용하여 텍스트 콘텐츠의 민감한 정보를 익명화하고 재식별하는 방법을 설명합니다. 이 프로세스에서는 Cloud Key Management Service를 사용하여 래핑된 키를 만듭니다. 익명화 및 재식별 요청에 이 키가 필요합니다.

이 빠른 시작에서 설명하는 프로세스를 가명처리(또는 토큰화)라고 합니다. 이 프로세스에서 민감한 정보 보호는 암호화 키를 사용하여 민감한 텍스트를 토큰으로 변환(익명화)합니다. 해당 텍스트를 복원(재식별)하려면 익명화 및 토큰에 사용한 암호화 키가 필요합니다.

민감한 정보 보호는 가역 및 비가역 암호화 방법을 모두 지원합니다. 콘텐츠를 재식별하려면 가역 방법을 선택해야 합니다.

여기에서 설명하는 암호화 방법을 AES-SIV를 사용한 확정 암호화라고 합니다(합성 초기화 벡터 모드의 고급 암호화 표준). Google에서는 민감한 정보 보호가 지원하는 모든 가역 암호화 방법 중에서 이 방법을 권장합니다. 이 방법이 최고 수준의 보안을 제공하기 때문입니다.

시작하기 전에 단계를 제외하면 10~20분 후에 이 주제의 단계를 완료할 수 있습니다.

시작하기 전에

Install the Google Cloud CLI.
Configure the gcloud CLI to use your federated identity.

For more information, see Browser-based sign-in with the gcloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Create or select a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.
- Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
  Replace PROJECT_ID with a name for the Google Cloud project you are creating.
- Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
  Replace PROJECT_ID with your Google Cloud project name.

Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

Enable the Sensitive Data Protection and Cloud KMS APIs:

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Google 계정에 역할을 부여합니다. 다음 각 IAM 역할에 대해 다음 명령어를 한 번씩 실행합니다. roles/dlp.user
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="user:EMAIL_ADDRESS" --role=ROLE
```
- PROJECT_ID를 프로젝트 ID로 바꿉니다.
- EMAIL_ADDRESS를 이메일 주소로 바꿉니다.
- ROLE을 각 개별 역할로 바꿉니다.

1단계: 키링 및 키 만들기

이 절차를 시작하기 전에 민감한 정보 보호를 사용하여 익명화 및 재식별 요청을 처리할 위치를 결정합니다. Cloud KMS 키를 만들 때 global 또는 민감한 정보 보호 요청에 사용할 리전과 같은 리전에 저장해야 합니다. 그렇지 않으면 민감한 정보 보호 요청이 실패합니다.

민감한 정보 보호 위치에서 지원되는 위치 목록을 확인할 수 있습니다. 선택한 리전의 이름을 기록합니다(예: us-west1).

이 절차에서는 모든 API 요청의 위치로 global을 사용합니다. 다른 리전을 사용하려면 global을 리전 이름으로 바꿉니다.

키링 만들기

gcloud kms keyrings create "dlp-keyring" \
    --location "global"

키를 만듭니다.

gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

키링 및 키를 나열합니다.

gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

다음과 같은 출력이 표시됩니다.

NAME                                                                                   PURPOSE          ALGORITHM                    PROTECTION_LEVEL  LABELS  PRIMARY_ID  PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key  ENCRYPT_DECRYPT  GOOGLE_SYMMETRIC_ENCRYPTION  SOFTWARE                  1           ENABLED

이 출력에서 PROJECT_ID는 프로젝트의 ID입니다.

NAME 아래의 경로는 Cloud KMS 키의 전체 리소스 이름입니다. 익명화 및 재식별 요청에 이 항목이 필요하므로 기록해 둡니다.

2단계: base64 인코딩 AES 키 만들기

이 섹션에서는 고급 암호화 표준(AES) 키를 만들고 base64 형식으로 인코딩하는 방법을 설명합니다.

128, 192 또는 256비트 AES 키를 만듭니다. 다음 명령어는 openssl을 사용하여 현재 디렉터리에 256비트 키를 만듭니다.
```
openssl rand -out "./aes_key.bin" 32
```
aes_key.bin 파일이 현재 디렉터리에 추가됩니다.
AES 키를 base64 문자열로 인코딩합니다.
```
base64 -i ./aes_key.bin
```
다음과 비슷한 출력이 표시됩니다.
```
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
```
경고: 이 예시 키를 사용하여 실제 민감한 워크로드를 보호하지 마세요. 이 키는 예시로만 사용하기 위해 제공됩니다. 이곳에 공유되었기 때문에 이 키는 사용하기에 안전하지 않습니다.

3단계: Cloud KMS 키를 사용하여 AES 키 래핑

이 섹션에서는 1단계에서 만든 Cloud KMS 키를 사용하여 2단계에서 만든 base64 인코딩 AES 키를 래핑하는 방법을 설명합니다.

AES 키를 래핑하려면 curl을 사용하여 Cloud KMS API projects.locations.keyRings.cryptoKeys.encrypt에 다음 요청을 보냅니다.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
  --request "POST" \
  --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
  --header "content-type: application/json" \
  --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

다음을 바꿉니다.

PROJECT_ID: 프로젝트의 ID입니다.
BASE64_ENCODED_AES_KEY: 2단계에서 반환된 base64 인코딩 문자열입니다.

Cloud KMS에서 제공받는 응답은 다음 JSON과 유사합니다.

{
  "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

이 출력에서 PROJECT_ID는 프로젝트의 ID입니다.

제공되는 응답에서 ciphertext 값을 기록해 둡니다. 이것이 래핑된 키입니다.

4단계: DLP API에 익명화 요청 전송

이 섹션에서는 텍스트 콘텐츠에서 민감한 정보를 익명화하는 방법을 설명합니다.

이 작업을 완료하려면 다음이 필요합니다.

1단계에서 만든 Cloud KMS 키의 전체 리소스 이름
3단계에서 만든 래핑된 키

이 섹션에서는 샘플 요청을 JSON 파일에 저장해야 합니다. Cloud Shell을 사용 중인 경우 Cloud Shell 편집기를 사용하여 파일을 만들면 됩니다. 편집기를 실행하려면 Cloud Shell 창의 툴바에서 편집기 열기 를 클릭합니다.

텍스트 콘텐츠의 민감한 정보를 익명화하려면 다음 단계를 따르세요.

다음 텍스트로 JSON 요청 파일을 만듭니다.

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "deidentifyConfig": {
    "infoTypeTransformations": {
      "transformations": [
        {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            }
          ],
          "primitiveTransformation": {
            "cryptoDeterministicConfig": {
              "cryptoKey": {
                "kmsWrapped": {
                  "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                  "wrappedKey": "WRAPPED_KEY"
                }
              },
              "surrogateInfoType": {
                "name": "EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig": {
    "infoTypes": [
      {
        "name": "EMAIL_ADDRESS"
      }
    ]
  }
}

다음을 바꿉니다.

PROJECT_ID: 프로젝트의 ID입니다.
WRAPPED_KEY: 3단계에서 만든 래핑된 키입니다.

cryptoKeyName의 결과 값이 Cloud KMS 키의 전체 리소스 이름을 구성하는지 확인합니다.

이 JSON 요청의 구성요소에 대한 자세한 내용은 projects.locations.content.deidentify를 참조하세요. 이 빠른 시작을 완료한 후에 이 요청에 다양한 입력을 실험해 보세요. 여기에 설명된 대로 curl을 사용할 수 있습니다. 또는 API 사용해 보기의 API 참조 페이지에서 API 탐색기를 사용할 수 있습니다.

파일을 deidentify-request.json로 저장합니다.

curl을 사용하여 projects.locations.content.deidentify 요청을 수행합니다.

curl -s \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" \
https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:deidentify \
-d @deidentify-request.json

PROJECT_ID를 프로젝트의 ID로 바꿉니다.

curl에 파일 이름을 전달하려면 -d 옵션(데이터용)을 사용하고 파일 이름 앞에 @ 기호를 붙입니다. 이 파일은 curl 명령어를 실행하는 디렉터리와 같은 디렉터리에 있어야 합니다.

민감한 정보 보호에서 제공받는 응답은 다음 JSON과 유사합니다.

{
 "item": {
   "value": "My name is Alicia Abernathy, and my email address is EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q."
 },
 "overview": {
   "transformedBytes": "22",
   "transformationSummaries": [
     {
       "infoType": {
         "name": "EMAIL_ADDRESS"
       },
       "transformation": {
         "cryptoDeterministicConfig": {
           "cryptoKey": {
             "kmsWrapped": {
               "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
               "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
             }
           },
           "surrogateInfoType": {
             "name": "EMAIL_ADDRESS_TOKEN"
           }
         }
       },
       "results": [
         {
           "count": "1",
           "code": "SUCCESS"
         }
       ],
       "transformedBytes": "22"
     }
   ]
 }
}

item 필드에서 이메일 주소가 EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q와 같은 토큰으로 대체됩니다. 이 콘텐츠를 재식별하려면 재식별 요청에 전체 토큰을 전달해야 합니다.

5단계: DLP API에 재식별 요청 전송

이 섹션에서는 텍스트 콘텐츠의 토큰화된 데이터를 재식별하는 방법을 설명합니다.

이 작업을 완료하려면 다음이 필요합니다.

1단계에서 만든 Cloud KMS 키의 전체 리소스 이름
3단계에서 만든 래핑된 키
4단계에서 받은 토큰

토큰화된 콘텐츠를 재식별하려면 다음 단계를 따르세요.

다음 텍스트로 JSON 요청 파일을 만듭니다.

{
  "reidentifyConfig":{
    "infoTypeTransformations":{
      "transformations":[
        {
          "infoTypes":[
            {
              "name":"EMAIL_ADDRESS_TOKEN"
            }
          ],
          "primitiveTransformation":{
            "cryptoDeterministicConfig":{
              "cryptoKey":{
              "kmsWrapped": {
                "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                "wrappedKey": "WRAPPED_KEY"
              }
            },
              "surrogateInfoType":{
                "name":"EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig":{
    "customInfoTypes":[
      {
        "infoType":{
          "name":"EMAIL_ADDRESS_TOKEN"
        },
        "surrogateType":{

        }
      }
    ]
  },
  "item":{
    "value": "My name is Alicia Abernathy, and my email address is TOKEN."
  }
}

다음을 바꿉니다.

PROJECT_ID: 프로젝트의 ID입니다.
WRAPPED_KEY: 3단계에서 만든 래핑된 키입니다.
TOKEN: 4단계에서 받은 토큰(예: EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q)입니다.

cryptoKeyName의 결과 값이 Cloud KMS 키의 전체 리소스 이름을 구성하는지 확인합니다.

이 JSON 요청의 구성요소에 대한 자세한 내용은 projects.locations.content.reidentify를 참조하세요. 이 빠른 시작을 완료한 후에 이 요청에 다양한 입력을 실험해 보세요. 여기에 설명된 대로 curl을 사용할 수 있습니다. 또는 API 사용해 보기의 API 참조 페이지에서 API 탐색기를 사용할 수 있습니다.

파일을 reidentify-request.json로 저장합니다.

curl을 사용하여 projects.locations.content.reidentify 요청을 수행합니다.

curl -s \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" \
https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:reidentify \
-d @reidentify-request.json

PROJECT_ID를 프로젝트의 ID로 바꿉니다.

민감한 정보 보호에서 제공받는 응답은 다음 JSON과 유사합니다.

{
 "item": {
   "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
 },
 "overview": {
   "transformedBytes": "70",
   "transformationSummaries": [
     {
       "infoType": {
         "name": "EMAIL_ADDRESS"
       },
       "transformation": {
         "cryptoDeterministicConfig": {
           "cryptoKey": {
             "kmsWrapped": {
               "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
               "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
             }
           },
           "surrogateInfoType": {
             "name": "EMAIL_ADDRESS_TOKEN"
           }
         }
       },
       "results": [
         {
           "count": "1",
           "code": "SUCCESS"
         }
       ],
       "transformedBytes": "70"
     }
   ]
 }
}

item 필드에서 이메일 주소 토큰이 원본 텍스트의 실제 이메일 주소로 대체됩니다.

확정적 암호화를 사용하여 텍스트 콘텐츠의 민감한 정보를 익명화 및 재식별했습니다.

삭제

이 페이지에서 사용한 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 리소스가 포함된 Google Cloud 프로젝트를 삭제하면 됩니다.

키 버전 폐기

이 빠른 시작에서 만든 키를 더 이상 사용하지 않으려면 버전을 폐기합니다.

키에 사용할 수 있는 버전을 나열합니다.

gcloud kms keys versions list \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

버전을 폐기하려면 다음 명령어를 실행합니다.

gcloud kms keys versions destroy KEY_VERSION \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

KEY_VERSION을 폐기할 버전 번호로 바꿉니다.

프로젝트 삭제

이 빠른 시작을 위해 새 프로젝트를 만든 경우 추가 요금 청구를 방지하는 가장 쉬운 방법은 프로젝트를 삭제하는 것입니다.

주의: 프로젝트를 삭제하면 다음과 같은 효과가 발생합니다.

프로젝트의 모든 항목이 삭제됩니다. 이 문서의 태스크에 기존 프로젝트를 사용한 경우 프로젝트를 삭제하면 프로젝트에서 수행한 다른 작업도 삭제됩니다.
커스텀 프로젝트 ID가 손실됩니다. 이 프로젝트를 만들 때 앞으로 사용할 커스텀 프로젝트 ID를 만들었을 수 있습니다. appspot.com URL과 같이 프로젝트 ID를 사용하는 URL을 보존하려면 전체 프로젝트를 삭제하는 대신 프로젝트 내에서 선택한 리소스만 삭제합니다.

여러 아키텍처, 튜토리얼, 빠른 시작을 살펴보려는 경우 프로젝트를 재사용하면 프로젝트 할당량 한도 초과를 방지할 수 있습니다.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

사용자 인증 정보 취소

Optional: Revoke credentials from the gcloud CLI.

gcloud auth revoke

다음 단계

민감한 콘텐츠를 익명화하는 방법에 대한 자세한 내용은 민감한 정보 익명화를 참조하세요.
익명화 워크플로가 실제 배포에 어떻게 적용되는지에 대한 자세한 내용은 민감한 정보를 사용하여 대규모 데이터 세트에서 PII 익명화 및 재식별을 참조하세요.
암호화 키를 통한 데이터 토큰화에 대한 개념 정보는 가명처리를 참조하세요.