Guía de inicio rápido: Usa una herramienta de línea de comandos

En esta página, se muestra cómo realizar tareas básicas en la API de Cloud Data Loss Prevention con una interfaz de línea de comandos. Específicamente, esta guía de inicio rápido cubre el envío de una string corta a la API de DLP para su inspección.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyecto

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Descubre cómo confirmar que tienes habilitada la facturación en un proyecto.

  4. Habilita la API DLP.

    Habilita la API

  5. Crea una cuenta de servicio:

    1. En Cloud Console, ve a la página Crear cuenta de servicio.

      Ir a Crear cuenta de servicio
    2. Selecciona un proyecto

    3. Ingresa un nombre en el campo Nombre de cuenta de servicio. Cloud Console completa el campo ID de cuenta de servicio con este nombre.

      En el campo Descripción de la cuenta de servicio, ingresa una descripción. Por ejemplo, Service account for quickstart.

    4. Haga clic en Crear.

    5. Haz clic en el campo Seleccionar una función.

      En Acceso rápido, haz clic en Básica y, luego, en Propietario.

    6. Haga clic en Continuar.

    7. Haz clic en Listo para terminar de crear la cuenta de servicio.

      No cierres la ventana del navegador. La usarás en la próxima tarea.

  6. Para crear una clave de cuenta de servicio, haz lo siguiente:

    1. En Cloud Console, haz clic en la dirección de correo electrónico de la cuenta de servicio que creaste.
    2. Haz clic en Claves.
    3. Haz clic en Agregar clave y, luego, en Crear clave nueva.
    4. Haga clic en Crear. Se descargará un archivo de claves JSON a tu computadora.
    5. Haga clic en Cerrar.

  7. Configura la variable de entorno GOOGLE_APPLICATION_CREDENTIALS en la ruta del archivo JSON que contiene la clave de tu cuenta de servicio. Esta variable solo se aplica a la sesión actual de shell. Por lo tanto, si abres una sesión nueva, deberás volver a configurar la variable.

Permisos

La inspección de contenido requiere el permiso serviceusage.services.use para el proyecto que se especifica en parent. Las funciones roles/editor, roles/owner y roles.dlp.user contienen el permiso requerido. También puedes definir tu propia función personalizada.

Para otorgar a tu usuario la función dlp.user a nivel de proyecto, sigue estos pasos:

IU web

  1. Abre la página de IAM en Google Cloud Console.

    Abrir la página de IAM

  2. Si un proyecto aún no se seleccionó, haz clic en el selector de proyecto y, luego, selecciónalo.

  3. En la página IAM, haz lo siguiente:

    • Para agregar un usuario nuevo, haz clic en Agregar .
    • Para agregar la función dlp.user a un usuario existente, haz clic en Editar miembro en ese usuario y, luego, en Agregar otra función en Editar permisos.

  4. En el panel Agregar miembros (Add members), haz lo siguiente:

    • En el campo Miembros nuevos, escribe la dirección de correo electrónico del usuario que deseas agregar, por ejemplo, test@example.com.
    • En Funciones, haz clic en Seleccionar una función y elige Cloud DLP > Usuario de DLP.

  5. Haga clic en Add.

Para obtener más información, consulta Otorga una función de IAM.

Línea de comandos

  1. Para agregar una sola vinculación a la política de IAM del proyecto, escribe el siguiente comando: 

    gcloud projects add-iam-policy-binding PROJECT_ID --member serviceAccount:SERVICE_ID --role roles/dlp.user

    Reemplaza lo siguiente:

    • PROJECT_ID: es el ID del proyecto.
    • SERVICE_ID: La cuenta de servicio que se usará.

  2. Escribe la política actualizada en la ventana de la consola:

    bindings:
- members:
  - group: EMAIL_ADDRESS
    role: roles/dlp.user

    Reemplaza EMAIL_ADDRESS por la dirección de correo electrónico del usuario que deseas agregar.

Configura una app de la CLI de Cloud DLP

Node.js

  1. Descargar Node.js y NPM para instalar.

  2. Clona o descarga un archivo ZIP de la biblioteca cliente de DLP de Node.js y, luego, expande el archivo descargado.

  3. Abre una herramienta de línea de comandos y navega hasta el directorio samples dentro del directorio expandido.

  4. Para instalar las dependencias de la app, ejecuta npm install mientras te encuentras en el directorio samples.

  5. Si aún no lo hiciste, crea la variable de entorno GCLOUD_PROJECT y configúrala con el ID del proyecto del proyecto de Google Cloud que configuraste para usar con Cloud DLP:

gcloud alpha dlp

  1. Instala e inicializa el SDK de Cloud.

    Este procedimiento también requiere el componente de gcloud Alpha Commands. Puedes instalarlo ahora o instalarlo más tarde cuando se te solicite.

  2. Activa la cuenta de servicio:

    gcloud auth activate-service-account SERVICE_ACCOUNT \\
 --key-file=PATH_TO_SERVICE_ACCOUNT_KEY

    Reemplaza lo siguiente:

    • SERVICE_ACCOUNT: El ID de tu cuenta de servicio
    • PATH_TO_SERVICE_ACCOUNT_KEY: La ruta de acceso al archivo JSON que contiene la clave privada de tu cuenta de servicio. Este es el archivo JSON que descargaste cuando configuraste la autenticación en la sección Antes de comenzar.

Inspecciona una string en busca de información sensible

En esta sección, se muestra cómo usar la API de DLP para analizar texto de muestra.

Node.js

En este ejemplo, se usa la secuencia de comandos inspectString de Node.js. Si aún no lo hiciste, abre una herramienta de línea de comandos. Navega a la carpeta samples del repositorio de muestras de Node.js que descargaste y expande en la sección anterior.

Ejecuta el siguiente comando: 

node inspectString.js PROJECT_ID "My email address is joe@example.com."

Reemplaza PROJECT_ID por el ID del proyecto.

Recibirá la siguiente salida: 

Findings:
  Quote: joe@example.com
  Info type: EMAIL_ADDRESS
  Likelihood: LIKELY

gcloud alpha dlp

En este ejemplo, se usa el comando gcloud alpha dlp text inspect. Si aún no lo hiciste, abre una herramienta de línea de comandos.

Ejecuta el siguiente comando:

gcloud alpha dlp text inspect --project="PROJECT_ID" \
--content="My email address is joe@example.com." \
--include-quote --info-types="EMAIL_ADDRESS"

Reemplaza PROJECT_ID por el ID del proyecto.

Si aún no instalaste el componente gcloud Alpha Commands, el sistema te preguntará si deseas instalarlo primero. Para continuar, presiona Y.

Recibirá la siguiente salida: 

result:
findings:
- createTime: '2021-02-26T19:31:28.051Z'
  findingId: 2021-02-26T19:31:28.054696Z5687834655654299045
  infoType:
    name: EMAIL_ADDRESS
  likelihood: LIKELY
  location:
    byteRange:
      end: '35'
      start: '20'
    codepointRange:
      end: '35'
      start: '20'
  quote: joe@example.com

Enviaste tu primera solicitud a la API de DLP.

¿Qué sigue?