Desidentificar y reidentificar datos sensibles

En esta guía de inicio rápido, se muestra cómo usar la protección de datos sensibles para desidentificar y volver a identificar datos sensibles en el contenido de texto. En el proceso, te guía a través del uso de Cloud Key Management Service para crear una clave unida. Necesitarás esta clave en tus solicitudes de desidentificación y reidentificación.

El proceso que se describe en esta guía de inicio rápido se denomina seudonimización (o asignación de token). En este proceso, la protección de datos sensibles usa una clave criptográfica para convertir (desidentificar) texto sensible en un token. Para restablecer (volver a identificar) ese texto, necesitas la clave criptográfica que usaste durante la desidentificación y el token.

La protección de datos sensibles admite métodos criptográficos reversibles y no reversibles. Para volver a identificar el contenido, debes elegir un método reversible.

El método criptográfico descrito aquí se denomina encriptación determinista mediante AES-SIV (estándar de encriptación avanzada en modo de vector de inicialización sintética). Recomendamos esta opción, entre todos los métodos criptográficos reversibles que admite la protección de datos sensibles, ya que proporciona el nivel más alto de seguridad.

Puedes completar los pasos en este tema en 10 a 20 minutos, sin incluir los pasos de Antes de comenzar.

Antes de comenzar

  1. Install the Google Cloud CLI.
  2. Configure the gcloud CLI to use your federated identity.

    For more information, see Browser-based sign-in with the gcloud CLI.

  3. To initialize the gcloud CLI, run the following command:

    gcloud init
  4. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Sensitive Data Protection and Cloud KMS APIs:

    gcloud services enable dlp.googleapis.com cloudkms.googleapis.com
  7. Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/dlp.user

    gcloud projects add-iam-policy-binding PROJECT_ID --member="USER_IDENTIFIER" --role=ROLE

Paso 1: Crea un llavero de claves y una clave

Antes de comenzar este procedimiento, decide dónde quieres que la protección de datos sensibles procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que usarás para las solicitudes de protección de datos sensibles. De lo contrario, fallarán las solicitudes de protección de datos sensibles.

Puedes encontrar una lista de las ubicaciones admitidas en Ubicaciones de la protección de datos sensibles. Anota el nombre de la región que elegiste (por ejemplo, us-west1).

En este procedimiento, se usa global como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global por el nombre de la región.

  1. Crea un llavero de claves

    gcloud kms keyrings create "dlp-keyring" \
        --location "global"
    
  2. Crea una clave:

    gcloud kms keys create "dlp-key" \
        --location "global" \
        --keyring "dlp-keyring" \
        --purpose "encryption"
    
  3. Enumera el llavero de claves y la clave:

    gcloud kms keys list \
        --location "global" \
        --keyring "dlp-keyring"
    

    Obtendrás el siguiente resultado:

    NAME                                                                                   PURPOSE          ALGORITHM                    PROTECTION_LEVEL  LABELS  PRIMARY_ID  PRIMARY_STATE
    projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key  ENCRYPT_DECRYPT  GOOGLE_SYMMETRIC_ENCRYPTION  SOFTWARE                  1           ENABLED
    

    En este resultado, PROJECT_ID es el ID de tu proyecto.

    La ruta en NAME es el nombre completo del recurso de tu clave de Cloud KMS. Anota esto, puesto que las solicitudes de desidentificación y reidentificación lo requieren.

Paso 2: Crea una clave AES codificada en base64

En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.

  1. Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza openssl para crear una clave de 256 bits en el directorio actual:

    openssl rand -out "./aes_key.bin" 32
    

    El archivo aes_key.bin se agrega a tu directorio actual.

  2. Codifica la clave AES como una string de base64:

    base64 -i ./aes_key.bin
    

    Obtendrás un resultado similar al siguiente:

    uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
    

Paso 3: Une la clave AES con la clave de Cloud KMS

En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en el Paso 1 para unir la clave AES codificada en base64 que creaste en el Paso 2.

Para unir la clave AES, usa curl a fin de enviar la siguiente solicitud a la API de Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
  --request "POST" \
  --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
  --header "content-type: application/json" \
  --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Reemplaza lo siguiente:

  • PROJECT_ID: es el ID de tu proyecto.
  • BASE64_ENCODED_AES_KEY: la string codificada en base64 que se muestra en el Paso 2.

La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:

{
  "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Anota el valor de ciphertext en la respuesta que obtienes. Esa es tu clave unida.

Paso 4: Envía una solicitud de desidentificación a la API de DLP

En esta sección, se describe cómo desidentificar datos sensibles en el contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

  • El nombre completo del recurso de la clave de Cloud KMS que creaste en el Paso 1.
  • La clave unida que creaste en el Paso 3.

Para esta sección, debes guardar la solicitud de muestra en un archivo JSON. Si usas Cloud Shell, puedes usar el editor de Cloud Shell para crear el archivo. Para iniciar el editor, haz clic en Abrir editor en la barra de herramientas de la ventana de Cloud Shell.

Para desidentificar datos sensibles en el contenido de texto, sigue estos pasos:

  1. Crea un archivo de solicitud JSON con el siguiente texto.

    {
      "item": {
        "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
      },
      "deidentifyConfig": {
        "infoTypeTransformations": {
          "transformations": [
            {
              "infoTypes": [
                {
                  "name": "EMAIL_ADDRESS"
                }
              ],
              "primitiveTransformation": {
                "cryptoDeterministicConfig": {
                  "cryptoKey": {
                    "kmsWrapped": {
                      "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                      "wrappedKey": "WRAPPED_KEY"
                    }
                  },
                  "surrogateInfoType": {
                    "name": "EMAIL_ADDRESS_TOKEN"
                  }
                }
              }
            }
          ]
        }
      },
      "inspectConfig": {
        "infoTypes": [
          {
            "name": "EMAIL_ADDRESS"
          }
        ]
      }
    }
    

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el ID de tu proyecto.
    • WRAPPED_KEY: Es la clave unida que creaste en el Paso 3.

    Asegúrate de que el valor resultante de cryptoKeyName forma el nombre completo del recurso de tu clave de Cloud KMS.

    Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.deidentify. Después de completar esta guía de inicio rápido, intenta experimentar con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. Como alternativa, puedes usar el Explorador de API en esa página de referencia de la API en Prueba esta API.

  2. Guarda el archivo como deidentify-request.json.

  3. Usa curl para realizar una solicitud projects.locations.content.deidentify:

    curl -s \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json" \
    https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:deidentify \
    -d @deidentify-request.json
    

    Reemplaza PROJECT_ID por el ID de tu proyecto.

    Para pasar un nombre de archivo a curl, usa la opción -d (para datos) y coloca un signo @ antes del nombre. Este archivo debe estar en el mismo directorio en el que ejecutaste el comando curl.

    La respuesta que obtienes de la protección de datos sensibles es similar al siguiente JSON:

    {
     "item": {
       "value": "My name is Alicia Abernathy, and my email address is EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q."
     },
     "overview": {
       "transformedBytes": "22",
       "transformationSummaries": [
         {
           "infoType": {
             "name": "EMAIL_ADDRESS"
           },
           "transformation": {
             "cryptoDeterministicConfig": {
               "cryptoKey": {
                 "kmsWrapped": {
                   "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
                   "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
                 }
               },
               "surrogateInfoType": {
                 "name": "EMAIL_ADDRESS_TOKEN"
               }
             }
           },
           "results": [
             {
               "count": "1",
               "code": "SUCCESS"
             }
           ],
           "transformedBytes": "22"
         }
       ]
     }
    }
    

    En el campo item, la dirección de correo electrónico se reemplaza por un token como EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q. Para volver a identificar este contenido, debes pasar el token completo en la solicitud de reidentificación.

Paso 5: Envía una solicitud de reidentificación a la API de DLP

En esta sección, se describe cómo reidentificar datos con asignación de token en el contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

  • El nombre completo del recurso de la clave de Cloud KMS que creaste en el Paso 1.
  • La clave unida que creaste en el Paso 3.
  • El token que recibiste en el Paso 4.

Para volver a identificar el contenido con tokens, sigue estos pasos:

  1. Crea un archivo de solicitud JSON con el siguiente texto.

    {
      "reidentifyConfig":{
        "infoTypeTransformations":{
          "transformations":[
            {
              "infoTypes":[
                {
                  "name":"EMAIL_ADDRESS_TOKEN"
                }
              ],
              "primitiveTransformation":{
                "cryptoDeterministicConfig":{
                  "cryptoKey":{
                  "kmsWrapped": {
                    "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                    "wrappedKey": "WRAPPED_KEY"
                  }
                },
                  "surrogateInfoType":{
                    "name":"EMAIL_ADDRESS_TOKEN"
                  }
                }
              }
            }
          ]
        }
      },
      "inspectConfig":{
        "customInfoTypes":[
          {
            "infoType":{
              "name":"EMAIL_ADDRESS_TOKEN"
            },
            "surrogateType":{
    
            }
          }
        ]
      },
      "item":{
        "value": "My name is Alicia Abernathy, and my email address is TOKEN."
      }
    }
    

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el ID de tu proyecto.
    • WRAPPED_KEY: Es la clave unida que creaste en el Paso 3.
    • TOKEN: El token que recibiste en el Paso 4, por ejemplo, EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q.

    Asegúrate de que el valor resultante de cryptoKeyName forma el nombre completo del recurso de tu clave de Cloud KMS.

    Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.reidentify. Después de completar esta guía de inicio rápido, intenta experimentar con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. Como alternativa, puedes usar el Explorador de API en esa página de referencia de la API en Prueba esta API.

  2. Guarda el archivo como reidentify-request.json.

  3. Usa curl para realizar una solicitud projects.locations.content.reidentify:

    curl -s \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json" \
    https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:reidentify \
    -d @reidentify-request.json
    

    Reemplaza PROJECT_ID por el ID de tu proyecto.

    Para pasar un nombre de archivo a curl, usa la opción -d (para datos) y coloca un signo @ antes del nombre. Este archivo debe estar en el mismo directorio en el que ejecutaste el comando curl.

    La respuesta que obtienes de la protección de datos sensibles es similar al siguiente JSON:

    {
     "item": {
       "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
     },
     "overview": {
       "transformedBytes": "70",
       "transformationSummaries": [
         {
           "infoType": {
             "name": "EMAIL_ADDRESS"
           },
           "transformation": {
             "cryptoDeterministicConfig": {
               "cryptoKey": {
                 "kmsWrapped": {
                   "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
                   "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
                 }
               },
               "surrogateInfoType": {
                 "name": "EMAIL_ADDRESS_TOKEN"
               }
             }
           },
           "results": [
             {
               "count": "1",
               "code": "SUCCESS"
             }
           ],
           "transformedBytes": "70"
         }
       ]
     }
    }
    

    En el campo item, el token de dirección de correo electrónico se reemplaza por la dirección de correo electrónico real del texto original.

    Acabas de desidentificar y volver a identificar datos sensibles en el contenido de texto con una encriptación determinista.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que se usaron en esta página, borra el proyecto de Cloud que tiene los recursos.

Destruye tu versión de clave

Si ya no quieres usar la clave que creaste en esta guía de inicio rápido, destruye su versión.

Crea una lista de versiones disponibles para tu clave:

gcloud kms keys versions list \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Para destruir una versión, ejecuta el siguiente comando:

gcloud kms keys versions destroy KEY_VERSION \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Reemplaza KEY_VERSION por el número de la versión que se destruirá.

Borra el proyecto

Si creaste un proyecto nuevo para esta guía de inicio rápido, la forma más fácil de evitar cargos adicionales es borrarlo.

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

Revocar tus credenciales

Optional: Revoke credentials from the gcloud CLI.

gcloud auth revoke

¿Qué sigue?