Cloud Data Loss Prevention (Cloud DLP) ahora forma parte de la protección de datos sensibles. El nombre de la API sigue siendo el mismo: API de Cloud Data Loss Prevention (API de DLP). Para obtener información sobre los servicios que conforman la protección de datos sensibles, consulta la Descripción general de la protección de datos sensibles.

Desidentificar y reidentificar datos sensibles

En esta guía de inicio rápido, se muestra cómo usar la protección de datos sensibles para desidentificar y volver a identificar datos sensibles en el contenido de texto. En el proceso, te guía a través del uso de Cloud Key Management Service para crear una clave unida. Necesitarás esta clave en tus solicitudes de desidentificación y reidentificación.

El proceso que se describe en esta guía de inicio rápido se denomina seudonimización (o asignación de token). En este proceso, la protección de datos sensibles usa una clave criptográfica para convertir (desidentificar) texto sensible en un token. Para restablecer (volver a identificar) ese texto, necesitas la clave criptográfica que usaste durante la desidentificación y el token.

La protección de datos sensibles admite métodos criptográficos reversibles y no reversibles. Para volver a identificar el contenido, debes elegir un método reversible.

El método criptográfico descrito aquí se denomina encriptación determinista mediante AES-SIV (estándar de encriptación avanzada en modo de vector de inicialización sintética). Recomendamos esta opción, entre todos los métodos criptográficos reversibles que admite la protección de datos sensibles, ya que proporciona el nivel más alto de seguridad.

Puedes completar los pasos en este tema en 10 a 20 minutos, sin incluir los pasos de Antes de comenzar.

Antes de comenzar

Install the Google Cloud CLI.
Configure the gcloud CLI to use your federated identity.

For more information, see Browser-based sign-in with the gcloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Create or select a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.
- Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
  Replace PROJECT_ID with a name for the Google Cloud project you are creating.
- Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
  Replace PROJECT_ID with your Google Cloud project name.

Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Enable the Sensitive Data Protection and Cloud KMS APIs:

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/dlp.user
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="USER_IDENTIFIER" --role=ROLE
```
- Replace PROJECT_ID with your project ID.
- Replace USER_IDENTIFIER with the identifier for your user account. For examples, see Represent workforce pool users in IAM policies.
- Replace ROLE with each individual role.

Paso 1: Crea un llavero de claves y una clave

Antes de comenzar este procedimiento, decide dónde quieres que la protección de datos sensibles procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que usarás para las solicitudes de protección de datos sensibles. De lo contrario, fallarán las solicitudes de protección de datos sensibles.

Puedes encontrar una lista de las ubicaciones admitidas en Ubicaciones de la protección de datos sensibles. Anota el nombre de la región que elegiste (por ejemplo, us-west1).

En este procedimiento, se usa global como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global por el nombre de la región.

Crea un llavero de claves

gcloud kms keyrings create "dlp-keyring" \
    --location "global"

Crea una clave:

gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

Enumera el llavero de claves y la clave:

gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

Obtendrás el siguiente resultado:

NAME                                                                                   PURPOSE          ALGORITHM                    PROTECTION_LEVEL  LABELS  PRIMARY_ID  PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key  ENCRYPT_DECRYPT  GOOGLE_SYMMETRIC_ENCRYPTION  SOFTWARE                  1           ENABLED

En este resultado, PROJECT_ID es el ID de tu proyecto.

La ruta en NAME es el nombre completo del recurso de tu clave de Cloud KMS. Anota esto, puesto que las solicitudes de desidentificación y reidentificación lo requieren.

Paso 2: Crea una clave AES codificada en base64

En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.

Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza openssl para crear una clave de 256 bits en el directorio actual:
```
openssl rand -out "./aes_key.bin" 32
```
El archivo aes_key.bin se agrega a tu directorio actual.
Codifica la clave AES como una string de base64:
```
base64 -i ./aes_key.bin
```
Obtendrás un resultado similar al siguiente:
```
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
```
Advertencia: No uses esta clave de ejemplo para proteger las cargas de trabajo sensibles reales. Esta clave se proporciona solo a modo de ejemplo. Dado que se comparte aquí, no es seguro utilizarla.

Paso 3: Une la clave AES con la clave de Cloud KMS

En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en el Paso 1 para unir la clave AES codificada en base64 que creaste en el Paso 2.

Para unir la clave AES, usa curl a fin de enviar la siguiente solicitud a la API de Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
  --request "POST" \
  --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
  --header "content-type: application/json" \
  --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Reemplaza lo siguiente:

PROJECT_ID: es el ID de tu proyecto.
BASE64_ENCODED_AES_KEY: la string codificada en base64 que se muestra en el Paso 2.

La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:

{
  "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Anota el valor de ciphertext en la respuesta que obtienes. Esa es tu clave unida.

Paso 4: Envía una solicitud de desidentificación a la API de DLP

En esta sección, se describe cómo desidentificar datos sensibles en el contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

El nombre completo del recurso de la clave de Cloud KMS que creaste en el Paso 1.
La clave unida que creaste en el Paso 3.

Para esta sección, debes guardar la solicitud de muestra en un archivo JSON. Si usas Cloud Shell, puedes usar el editor de Cloud Shell para crear el archivo. Para iniciar el editor, haz clic en Abrir editor en la barra de herramientas de la ventana de Cloud Shell.

Para desidentificar datos sensibles en el contenido de texto, sigue estos pasos:

Crea un archivo de solicitud JSON con el siguiente texto.

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "deidentifyConfig": {
    "infoTypeTransformations": {
      "transformations": [
        {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            }
          ],
          "primitiveTransformation": {
            "cryptoDeterministicConfig": {
              "cryptoKey": {
                "kmsWrapped": {
                  "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                  "wrappedKey": "WRAPPED_KEY"
                }
              },
              "surrogateInfoType": {
                "name": "EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig": {
    "infoTypes": [
      {
        "name": "EMAIL_ADDRESS"
      }
    ]
  }
}

Reemplaza lo siguiente:

PROJECT_ID: Es el ID de tu proyecto.
WRAPPED_KEY: Es la clave unida que creaste en el Paso 3.

Asegúrate de que el valor resultante de cryptoKeyName forma el nombre completo del recurso de tu clave de Cloud KMS.

Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.deidentify. Después de completar esta guía de inicio rápido, intenta experimentar con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. Como alternativa, puedes usar el Explorador de API en esa página de referencia de la API en Prueba esta API.

Guarda el archivo como deidentify-request.json.

Usa curl para realizar una solicitud projects.locations.content.deidentify:

curl -s \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" \
https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:deidentify \
-d @deidentify-request.json

Reemplaza PROJECT_ID por el ID de tu proyecto.

Para pasar un nombre de archivo a curl, usa la opción -d (para datos) y coloca un signo @ antes del nombre. Este archivo debe estar en el mismo directorio en el que ejecutaste el comando curl.

La respuesta que obtienes de la protección de datos sensibles es similar al siguiente JSON:

{
 "item": {
   "value": "My name is Alicia Abernathy, and my email address is EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q."
 },
 "overview": {
   "transformedBytes": "22",
   "transformationSummaries": [
     {
       "infoType": {
         "name": "EMAIL_ADDRESS"
       },
       "transformation": {
         "cryptoDeterministicConfig": {
           "cryptoKey": {
             "kmsWrapped": {
               "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
               "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
             }
           },
           "surrogateInfoType": {
             "name": "EMAIL_ADDRESS_TOKEN"
           }
         }
       },
       "results": [
         {
           "count": "1",
           "code": "SUCCESS"
         }
       ],
       "transformedBytes": "22"
     }
   ]
 }
}

En el campo item, la dirección de correo electrónico se reemplaza por un token como EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q. Para volver a identificar este contenido, debes pasar el token completo en la solicitud de reidentificación.

Paso 5: Envía una solicitud de reidentificación a la API de DLP

En esta sección, se describe cómo reidentificar datos con asignación de token en el contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

El nombre completo del recurso de la clave de Cloud KMS que creaste en el Paso 1.
La clave unida que creaste en el Paso 3.
El token que recibiste en el Paso 4.

Para volver a identificar el contenido con tokens, sigue estos pasos:

Crea un archivo de solicitud JSON con el siguiente texto.

{
  "reidentifyConfig":{
    "infoTypeTransformations":{
      "transformations":[
        {
          "infoTypes":[
            {
              "name":"EMAIL_ADDRESS_TOKEN"
            }
          ],
          "primitiveTransformation":{
            "cryptoDeterministicConfig":{
              "cryptoKey":{
              "kmsWrapped": {
                "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                "wrappedKey": "WRAPPED_KEY"
              }
            },
              "surrogateInfoType":{
                "name":"EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig":{
    "customInfoTypes":[
      {
        "infoType":{
          "name":"EMAIL_ADDRESS_TOKEN"
        },
        "surrogateType":{

        }
      }
    ]
  },
  "item":{
    "value": "My name is Alicia Abernathy, and my email address is TOKEN."
  }
}

Reemplaza lo siguiente:

PROJECT_ID: Es el ID de tu proyecto.
WRAPPED_KEY: Es la clave unida que creaste en el Paso 3.
TOKEN: El token que recibiste en el Paso 4, por ejemplo, EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q.

Asegúrate de que el valor resultante de cryptoKeyName forma el nombre completo del recurso de tu clave de Cloud KMS.

Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.reidentify. Después de completar esta guía de inicio rápido, intenta experimentar con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. Como alternativa, puedes usar el Explorador de API en esa página de referencia de la API en Prueba esta API.

Guarda el archivo como reidentify-request.json.

Usa curl para realizar una solicitud projects.locations.content.reidentify:

curl -s \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" \
https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:reidentify \
-d @reidentify-request.json

Reemplaza PROJECT_ID por el ID de tu proyecto.

La respuesta que obtienes de la protección de datos sensibles es similar al siguiente JSON:

{
 "item": {
   "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
 },
 "overview": {
   "transformedBytes": "70",
   "transformationSummaries": [
     {
       "infoType": {
         "name": "EMAIL_ADDRESS"
       },
       "transformation": {
         "cryptoDeterministicConfig": {
           "cryptoKey": {
             "kmsWrapped": {
               "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
               "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
             }
           },
           "surrogateInfoType": {
             "name": "EMAIL_ADDRESS_TOKEN"
           }
         }
       },
       "results": [
         {
           "count": "1",
           "code": "SUCCESS"
         }
       ],
       "transformedBytes": "70"
     }
   ]
 }
}

En el campo item, el token de dirección de correo electrónico se reemplaza por la dirección de correo electrónico real del texto original.

Acabas de desidentificar y volver a identificar datos sensibles en el contenido de texto con una encriptación determinista.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que se usaron en esta página, borra el proyecto de Cloud que tiene los recursos.

Destruye tu versión de clave

Si ya no quieres usar la clave que creaste en esta guía de inicio rápido, destruye su versión.

Crea una lista de versiones disponibles para tu clave:

gcloud kms keys versions list \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Para destruir una versión, ejecuta el siguiente comando:

gcloud kms keys versions destroy KEY_VERSION \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Reemplaza KEY_VERSION por el número de la versión que se destruirá.

Borra el proyecto

Si creaste un proyecto nuevo para esta guía de inicio rápido, la forma más fácil de evitar cargos adicionales es borrarlo.

Precaución: Borrar un proyecto tiene estas consecuencias:

Se borra todo en el proyecto. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los ID personalizados de proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID del proyecto personalizado que desees utilizar en el futuro. Para conservar las URL que utilizan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto en lugar de borrar todo el proyecto.

Si planeas explorar varias infraestructuras, instructivos y guías de inicio rápido la reutilización de proyectos puede ayudarte a evitar exceder los límites de las cuotas del proyecto.

Borra un proyecto de Google Cloud:

gcloud projects delete PROJECT_ID

Revocar tus credenciales

Optional: Revoke credentials from the gcloud CLI.

gcloud auth revoke

¿Qué sigue?

Para obtener información más detallada sobre cómo desidentificar contenido sensible, consulta Desidentifica datos sensibles.
Para obtener información sobre cómo se adapta un flujo de trabajo de desidentificación a las implementaciones en la vida real, consulta Desidentificación y reidentificación de PII en conjuntos de datos a gran escala mediante la protección de datos sensibles.
Para obtener información conceptual sobre la asignación de token de datos a través de una clave criptográfica, consulta Seudonimización.