En esta página, se describe cómo configurar el descubrimiento de datos de Cloud SQL a nivel de proyecto. Si deseas generar perfiles de una organización o carpeta, consulta Cómo generar perfiles de datos de Cloud SQL en una organización o carpeta.
Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.
Cómo funciona
A continuación, se muestra un flujo de trabajo de alto nivel para generar perfiles de datos de Cloud SQL:
Crea una configuración de análisis.
Después de crear una configuración de análisis, la protección de datos sensibles comienza a identificar tus instancias de Cloud SQL y a crear una conexión predeterminada para cada instancia. Según la cantidad de instancias en el alcance del descubrimiento, este proceso puede tomar algunas horas. Puedes salir de la consola de Google Cloud y verificar las conexiones más tarde.
Otorga los roles de IAM necesarios al agente de servicio asociado con tu configuración de análisis.
Cuando las conexiones predeterminadas estén listas, otorga a la protección de datos sensibles acceso a tus instancias de Cloud SQL. Para ello, actualiza cada conexión con las credenciales de usuario de la base de datos adecuadas. Puedes proporcionar cuentas de usuario de base de datos existentes o crear usuarios de base de datos.
Recomendación: Aumenta la cantidad máxima de conexiones que la Protección de datos sensibles puede usar para generar perfiles de tus datos. El aumento de las conexiones puede acelerar el descubrimiento.
Servicios compatibles
Esta función admite lo siguiente:
- Cloud SQL para MySQL
- Cloud SQL para PostgreSQL
Cloud SQL para SQL Server no es compatible.
Precios y cuota
El descubrimiento de Cloud SQL no tiene cargos por la protección de datos sensibles hasta el 1 de febrero de 2024. Después de esa fecha, el descubrimiento de Cloud SQL se cobrará de manera similar al descubrimiento de BigQuery.
Se te cobrará el uso que hagas de otros servicios de Google Cloud relacionados con la generación de perfiles de datos:
Se aplican cargos de Secret Manager cada vez que la protección de datos sensibles accede a un secreto. Las operaciones de acceso se producen cuando la protección de datos sensibles genera perfiles de tus tablas y verifica de forma periódica si hay actualizaciones.
Si guardas los perfiles de datos en BigQuery, se generan cargos de BigQuery.
Antes de comenzar
Asegúrate de que la API de Cloud Data Loss Prevention esté habilitada en tu proyecto:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
Confirma que tienes los permisos de IAM necesarios para configurar perfiles de datos en el nivel de proyecto.
Debes tener una plantilla de inspección en cada región en la que tengas datos para generar perfiles. Si quieres usar una sola plantilla para varias regiones, puedes utilizar una plantilla que se almacena en la región
global
. Si las políticas de la organización te impiden crear una plantilla de inspección deglobal
, debes establecer una plantilla de inspección dedicada para cada región. Para obtener más información, consulta Consideraciones de residencia de datos.Esta tarea te permite crear una plantilla de inspección solo en la región
global
. Si necesitas plantillas de inspección dedicadas para una o más regiones, debes crear esas plantillas antes de realizar esta tarea.Puedes configurar la protección de datos sensibles para que envíe notificaciones a Pub/Sub cuando se producen ciertos eventos, como cuando esta protección genera perfiles de una tabla nueva. Si deseas utilizar esta función, primero debes crear un tema de Pub/Sub.
Crear una configuración de análisis
Ve a la página Crear configuración de análisis.
Ve a tu proyecto. En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu proyecto.
En las siguientes secciones, se proporciona más información sobre los pasos en la página Crea una configuración de análisis. Al final de cada sección, haz clic en Continuar.
Selecciona un tipo de descubrimiento
Selecciona Cloud SQL.
Selecciona el permiso
Realiza una de las siguientes acciones:Si deseas analizar una sola tabla en modo de prueba, selecciona Analizar una tabla (modo de prueba).
Se muestra la cantidad de análisis de tablas gratuitos disponibles. Los análisis gratuitos de tablas solo se aplican a las tablas que tienen 1 TB de tamaño o menos. Para cada tabla, solo puedes tener una configuración de análisis a nivel de la tabla. Para obtener más información, consulta Cómo generar el perfil de una tabla en el modo de prueba.
Completa los detalles de la tabla de la que quieres generar perfiles.
Si deseas realizar una generación de perfiles estándar a nivel de proyecto, selecciona la opción para analizar todo el proyecto.
Administrar programas
Si la frecuencia de generación de perfiles predeterminada se adapta a tus necesidades, puedes omitir esta sección de la página Crear configuración de análisis. Esta sección es útil si deseas realizar ajustes detallados en la frecuencia de generación de perfiles de todos tus datos o de ciertos subconjuntos de ellos. También es útil si no deseas que se generen perfiles de ciertas tablas alguna vez o si deseas que se genere un perfil de ellas una y otra vez.
En esta sección, crearás filtros para especificar ciertos subconjuntos de tus datos que te interesan. Para estos subconjuntos, debes definir si la protección de datos sensibles debe generar perfiles de las tablas y con qué frecuencia. Aquí, también especificas los tipos de cambios que deberían hacer que se vuelva a generar el perfil de una tabla. Por último, debes especificar las condiciones que debe cumplir cada tabla en los subconjuntos antes de que la protección de datos sensibles comience a generar perfiles de la tabla.
Para realizar ajustes precisos en la frecuencia de generación de perfiles, sigue estos pasos:
- Haz clic en Agregar programación.
En la sección Filtros, defines uno o más filtros que especifican qué tablas están en el alcance de la programación.
Especifica, al menos, una de las siguientes opciones:
- Un ID del proyecto o una expresión regular que especifica uno o más proyectos.
- Un ID de instancia o una expresión regular que especifica una o más instancias.
- Un ID de base de datos o una expresión regular que especifica una o más bases de datos.
- Un ID de tabla o una expresión regular que especifica una o más tablas. Ingresa este valor en el campo Nombre o expresión regular del recurso de la base de datos.
Las expresiones regulares deben seguir la sintaxis RE2.
Por ejemplo, si deseas que todas las tablas de una base de datos se incluyan en el filtro, ingresa el ID de la base de datos en el campo ID de la base de datos.
Si deseas agregar más filtros, haz clic en Agregar filtro y repite este paso.
Haz clic en Frecuencia.
En la sección Frecuencia, especifica si el servicio de descubrimiento debe generar perfiles de las tablas que seleccionaste y, de ser así, con qué frecuencia:
Si no quieres que se generen perfiles de las tablas nunca, desactiva Crear perfiles de estos datos.
Si deseas generar perfiles de las tablas al menos una vez, deja activada la opción Crear perfiles de estos datos.
En los campos siguientes de esta sección, debes especificar si el sistema debe volver a generar el perfil de tus datos y qué eventos deben activar una operación para hacerlo. Para obtener más información, consulta Frecuencia de generación de perfiles de datos.
- En Según una programación, especifica la frecuencia con la que quieres que se vuelvan a generar los perfiles de las tablas. Se vuelven a generar los perfiles de las tablas independientemente de si se sometieron o no a algún cambio.
- En Cuando el esquema cambia, especifica la frecuencia con la que la protección de datos sensibles debe verificar si las tablas seleccionadas tienen cambios de esquema después de la última creación de perfiles. Solo se volverá a generar el perfil de las tablas con cambios de esquema.
- En Types of schema change, especifica qué tipos de cambios de esquema
deben activar una operación para volver a generar el perfil. Selecciona una de las siguientes opciones:
- Columnas nuevas: Vuelve a generar el perfil de las tablas que obtuvieron columnas nuevas.
- Removed columns: Vuelve a generar el perfil de las tablas a las que se les quitaron columnas.
Por ejemplo, supongamos que tienes tablas que obtienen columnas nuevas todos los días y que necesitas generar perfiles de su contenido cada vez. Puedes configurar Cuando el esquema cambia como Volver a generar el perfil diariamente y configurar Tipos de cambio de esquema (Types of schema change) en Columnas nuevas (New columns).
- En Cuando la plantilla de inspección cambia, especifica si quieres que se vuelvan a generar los perfiles de tus datos cuando se actualice la plantilla de inspección asociada y, de ser así, con qué frecuencia.
Se detecta un cambio en la plantilla de inspección cuando ocurre alguna de las siguientes situaciones:
- El nombre de una plantilla de inspección cambia en la configuración de análisis.
- El
updateTime
de una plantilla de inspección cambia.
Por ejemplo, si configuras una plantilla de inspección para la región
us-west1
y actualizas esa plantilla, solo se volverán a generar los perfiles de los datos de la regiónus-west1
. Sin embargo, si borras esa plantilla de inspección, entonces no se vuelve a generar el perfil de los datos enus-west1
, ya que no hay una plantilla de inspección que puedas usar para hacerlo.
Haz clic en Condiciones.
En la sección Condiciones, especifica los tipos de recursos de base de datos para los que deseas generar perfiles. De forma predeterminada, la protección de datos sensibles está configurada para generar perfiles de todos los tipos de recursos de base de datos compatibles. Cuando la protección de datos sensibles agrega compatibilidad con más tipos de recursos de base de datos, también se generarán perfiles de esos tipos automáticamente.
Opcional: Si quieres establecer de forma explícita los tipos de recursos de base de datos para los que quieres generar perfiles, sigue estos pasos:
- Haz clic en el campo Tipos de recursos de base de datos.
- Selecciona los tipos de recursos de base de datos para los que desees generar perfiles.
Si la Protección de datos sensibles más adelante agrega compatibilidad de descubrimiento para más tipos de recursos de base de datos de Cloud SQL, solo se generarán perfiles de esos tipos si regresas a esta lista y los seleccionas.
Haz clic en Listo.
Si deseas agregar más programas, haz clic en Agregar programación y repite los pasos anteriores.
Para reordenar las programaciones según la prioridad, usa las flechas hacia arriba y hacia abajo de
. Por ejemplo, si los filtros en dos programas diferentes coinciden con la Tabla A, tiene prioridad el programa que se encuentra más arriba en la lista de prioridad.La última programación de la lista es siempre la que tiene la etiqueta Programación predeterminada. Esta programación predeterminada abarca las tablas de tu proyecto que no coinciden con ninguna de las programaciones que creaste. Este programa predeterminado sigue la frecuencia de generación de perfiles predeterminada del sistema.
Si deseas ajustar el programa predeterminado, haz clic en
Edit schedule y ajusta la configuración según sea necesario.
Selecciona una plantilla de inspección
Según cómo desees proporcionar una configuración de inspección, elige una de las siguientes opciones. Sin importar la opción que elijas, la protección de datos sensibles analiza tus datos en la región en la que se almacenan. Es decir, tus datos no salen de su región de origen.
Opción 1: Crea una plantilla de inspección
Elige esta opción si quieres crear una plantilla de inspección nueva en la región global
.
- Haz clic en Crear nueva plantilla de inspección.
Opcional: Para modificar la selección predeterminada de los Infotipos, haz clic en Administrar infotipos.
Si quieres obtener más información para administrar Infotipos integrados y personalizados en esta sección, consulta Administra Infotipos a través de la consola de Google Cloud.
Debes tener al menos un Infotipo seleccionado para continuar.
Opcional: Configura aún más la plantilla de inspección mediante el agregado de conjuntos de reglas y la configuración de un umbral de confianza. Para obtener más información, consulta Configura la detección.
Cuando la Protección de datos sensibles crea la configuración del análisis, almacena esta plantilla de inspección nueva en la región
global
.
Opción 2: Usa una plantilla de inspección existente
Elige esta opción si tienes plantillas de inspección existentes que deseas usar.
Haz clic en Seleccionar plantilla de inspección existente.
Ingresa el nombre completo del recurso de la plantilla de inspección que deseas usar. El campo Región se propaga de forma automática con el nombre de la región en la que se almacena tu plantilla de inspección.
La plantilla de inspección que ingreses debe estar en la misma región que los datos para los que se generarán perfiles. Para respetar la residencia de los datos, la protección de datos sensibles no usa una plantilla de inspección fuera de su propia región.
Para encontrar el nombre completo del recurso de una plantilla de inspección, sigue estos pasos:
Ve a la lista de plantillas de inspección. Esta página se abre en otra pestaña.
Cambia al proyecto que contiene la plantilla de inspección que deseas usar.
En la pestaña Plantillas, haz clic en el ID de la plantilla que quieres usar.
En la página que se abre, copia el nombre completo del recurso de la plantilla. El nombre completo del recurso tiene el siguiente formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
En la página Crear configuración de análisis, en el campo Nombre de la plantilla, pega el nombre completo del recurso de la plantilla.
Si tienes datos en otra región y una plantilla de inspección que quieres usar para esa región, sigue estos pasos:
- Haz clic en Agregar plantilla de inspección.
- Ingresa el nombre completo del recurso de la plantilla de inspección.
Repite estos pasos para cada región en la que tengas una plantilla de inspección dedicada.
Opcional: Agrega una plantilla de inspección que se almacene en la región
global
. La protección de datos sensibles usa esa plantilla automáticamente para los datos en regiones en las que no tienes una plantilla de inspección dedicada.
Agrega acciones
En las siguientes secciones, debes especificar acciones que deseas que realice la protección de datos sensibles después de generar los perfiles de datos.
Para obtener información sobre cómo otros servicios de Google Cloud pueden cobrarte por las acciones de configuración, consulta Precios para exportar perfiles de datos.
Publicar en Security Command Center
Esta acción te permite enviar el riesgo de datos calculado y los niveles de sensibilidad de los perfiles de datos de tablas a Security Command Center.
Security Command Center es el servicio centralizado de informes de vulnerabilidades y amenazas de Google Cloud. Puedes usar las estadísticas de los perfiles de datos cuando clasifiques y desarrolles planes de respuesta para los hallazgos de vulnerabilidades y amenazas en Security Command Center.
Para poder usar esta acción, Security Command Center debe activarse a nivel de la organización. Activar Security Command Center a nivel de la organización permite el flujo de resultados desde servicios integrados, como la protección de datos sensibles. La protección de datos sensibles funciona con Security Command Center Standard y Premium.
Si Security Command Center no está activado a nivel de la organización, los resultados de la protección de datos sensibles no aparecerán en Security Command Center. Para obtener más información, consulta Verifica el nivel de activación de Security Command Center.
Para enviar los resultados de tus perfiles de datos a Security Command Center, asegúrate de que la opción Publicar en Security Command Center esté activada.
Para obtener más información, consulta Publica perfiles de datos en Security Command Center.
Guardar copias de los perfiles de datos en BigQuery
Activar Guardar copias de perfiles de datos en BigQuery te permite conservar una copia guardada o un historial de todos los perfiles generados. Esto puede ser útil para crear informes de auditoría y visualizar perfiles de datos. También puedes cargar esta información en otros sistemas.
Además, esta opción te permite ver todos tus perfiles de datos en una sola vista, sin importar la región en la que residan tus datos. Si desactivas esta opción, aún puedes ver los perfiles de datos en tu panel. Sin embargo, en el panel, debes seleccionar una región a la vez y ver solo los perfiles de datos de esa región.
Para exportar copias de los perfiles de datos a una tabla de BigQuery, sigue estos pasos:
Activa Guardar copias de perfiles de datos en BigQuery.
Ingresa los detalles de la tabla de BigQuery en la que deseas guardar los perfiles de datos:
En ID del proyecto, ingresa el ID de un proyecto existente al que deseas exportar los perfiles de datos.
En ID del conjunto de datos, ingresa el nombre de un conjunto de datos existente en el proyecto al que deseas exportar los perfiles de datos.
En ID de tabla, ingresa un nombre para la tabla de BigQuery a la que se exportarán los perfiles de datos. Si no creaste esta tabla, la protección de datos sensibles la crea de forma automática con el nombre que proporciones.
La protección de datos sensibles comienza a exportar perfiles desde el momento en que activas esta opción. Los perfiles que se generaron antes de activar la exportación no se guardan en BigQuery.
Publicar en Pub/Sub
Activar Publicar en Pub/Sub te permite realizar acciones programáticas en función de los resultados de la generación de perfiles. Puedes usar las notificaciones de Pub/Sub a fin de desarrollar un flujo de trabajo para detectar y solucionar los resultados con una sensibilidad o un riesgo de datos significativo.
Para enviar notificaciones a un tema de Pub/Sub, sigue estos pasos:
Activa Publicar en Pub/Sub.
Aparecerá una lista de opciones. Cada opción describe un evento que hace que la protección de datos sensibles envíe una notificación a Pub/Sub.
Selecciona los eventos que deben activar una notificación de Pub/Sub.
Si seleccionas Enviar una notificación de Pub/Sub cada vez que se actualiza un perfil, la Protección de datos sensibles envía una notificación cuando se produce un cambio en las siguientes métricas a nivel de la tabla:
- Riesgo de datos
- Sensibilidad
- Infotipos previstos
- Otros Infotipos
- Pública
- Encriptación
Para cada evento que selecciones, sigue estos pasos:
Ingresa el nombre del tema. El nombre debe tener el siguiente formato:
projects/PROJECT_ID/topics/TOPIC_ID
Reemplaza lo siguiente:
- PROJECT_ID: Es el ID del proyecto asociado con el tema de Pub/Sub.
- TOPIC_ID: Es el ID del tema de Pub/Sub.
Especifica si deseas incluir el perfil de tabla completo en la notificación o solo el nombre completo del recurso de la tabla para la que se creó el perfil.
Establece los niveles mínimos de riesgo y sensibilidad de los datos que se deben cumplir para que la protección de datos sensibles envíe una notificación.
Especifica si solo se debe cumplir una o ambas condiciones de riesgo y sensibilidad de los datos. Por ejemplo, si eliges
AND
, se deben cumplir las condiciones de sensibilidad y riesgo de datos antes de que la protección de datos sensibles envíe una notificación.
Establece la ubicación en la que se almacenará la configuración
Haz clic en la lista Ubicación de los recursos y selecciona la región en la que deseas almacenar esta configuración del análisis. Todas las configuraciones de análisis que crees más adelante también se almacenarán en esta ubicación.
El lugar en el que eliges almacenar la configuración de análisis no afecta los datos que se analizarán. Tampoco afecta el lugar en el que se almacenan los perfiles de datos. Tus datos se analizan en la misma región en la que se almacenan. Para obtener más información, consulta Consideraciones de residencia de datos.
Revisa y crea
Si deseas asegurarte de que la generación de perfiles no se inicie automáticamente después de crear la configuración del análisis, selecciona Create scan in paused mode.
Esta opción es útil en los siguientes casos:
- Optaste por guardar perfiles de datos en BigQuery y deseas asegurarte de que el agente de servicio tenga acceso de escritura a tu tabla de salida.
- Configuraste las notificaciones de Pub/Sub y deseas otorgar acceso de publicación al agente de servicio.
Revisa tu configuración y haz clic en Crear.
La protección de datos sensibles crea la configuración del análisis y la agrega a la lista de configuraciones de análisis de descubrimiento.
Para ver o administrar tu configuración de análisis, consulta Administra las configuraciones de análisis.
La protección de datos sensibles comienza a identificar tus instancias de Cloud SQL y a crear una conexión predeterminada para cada instancia. Según la cantidad de instancias en el alcance del descubrimiento, este proceso puede tardar algunas horas. Puedes salir de la consola de Google Cloud y verificar las conexiones más tarde.Cuando las conexiones predeterminadas estén listas, actualízalas con las credenciales de usuario de la base de datos que deseas que la Protección de datos sensibles use para generar perfiles de tus instancias de Cloud SQL. Si quieres obtener más información, consulta Administra conexiones para usar con el descubrimiento.
¿Qué sigue?
Obtén información sobre cómo actualizar tus conexiones.