Envía los resultados de la inspección de Protección de datos sensibles a Data Catalog

En esta guía, se muestra cómo usar la protección de datos sensibles para inspeccionar una tabla de BigQuery y enviar los resultados de la inspección a Data Catalog.

Además, puedes realizar la generación de perfiles de datos, que es diferente de una operación de inspección. También puedes enviar perfiles de datos a Dataplex. Para obtener más información, consulta Etiqueta tablas en Dataplex según las estadísticas de los perfiles de datos.

Data Catalog es un servicio escalable de administración de metadatos que te permite descubrir, administrar y comprender con rapidez todos tus datos en Google Cloud.

Sensitive Data Protection tiene integración integrada con Data Catalog. Cuando usas una acción de Protección de datos sensibles para inspeccionar tus tablas de BigQuery en busca de datos sensibles, esta puede enviar los resultados directamente a Data Catalog en forma de una plantilla de etiquetas.

Si completas los pasos de esta guía, realizarás las siguientes acciones:

  • Habilita Data Catalog y la protección de datos sensibles.
  • Configura la protección de datos sensibles para inspeccionar una tabla de BigQuery.
  • Configura una inspección de Sensitive Data Protection para enviar los resultados de la inspección a Data Catalog.

Para obtener más información sobre Data Catalog, consulta la documentación de Data Catalog.

Si deseas enviar los resultados de las operaciones de generación de perfiles de datos (no las tareas de inspección) a Dataplex, consulta la documentación para generar perfiles de una organización, una carpeta o un proyecto.

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

  • Sensitive Data Protection
  • BigQuery

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Antes de comenzar

Antes de enviar los resultados de la inspección de la Protección de datos sensibles a Data Catalog, haz lo siguiente:

  • Paso 1: Configura la facturación
  • Paso 2: Crea un proyecto nuevo y propaga una tabla de BigQuery nueva (Opcional)
  • Paso 3: Habilita Data Catalog
  • Paso 4: Habilita la protección de datos sensibles.

Las siguientes subsecciones abarcan cada paso en detalle.

Paso 1: Configura la facturación

Primero, debes configurar una cuenta de facturación si aún no tienes una.

Aprende a habilitar la facturación

Paso 2: Crea un proyecto nuevo y propaga una tabla de BigQuery nueva (opcional)

Si configuras esta función para el trabajo de producción o ya tienes una tabla de BigQuery que deseas inspeccionar, abre el proyecto de Google Cloud que contiene la tabla y avanza al paso 3.

Si estás probando esta función y deseas inspeccionar los datos de prueba, crea un proyecto nuevo. Para completar este paso, debes tener la función de Creador de proyectos de IAM. Obtén más información sobre las funciones de IAM.

  1. Ve a la página Nuevo proyecto en la consola de Google Cloud.

    Nuevo proyecto

  2. En la lista desplegable Cuenta de facturación, selecciona la cuenta de facturación en la que se debe facturar el proyecto.
  3. En la lista desplegable Organización, selecciona la organización en la que deseas crear el proyecto.
  4. En la lista desplegable Ubicación, selecciona la organización o la carpeta en la que deseas crear el proyecto.
  5. Haz clic en Crear para crear el proyecto.

A continuación, descarga y almacena los datos de muestra:

  1. Ve al repositorio de instructivos de funciones de Cloud Run en GitHub.
  2. Selecciona uno de los archivos CSV que contenga datos de ejemplo y, luego, descarga el archivo.
  3. A continuación, ve a BigQuery en la consola de Google Cloud.
  4. Elige tu proyecto.
  5. Haz clic en Crear conjunto de datos.
  6. Haz clic en Crear tabla.
  7. Haz clic en Subir y, luego, selecciona el archivo que deseas subir.
  8. Asígnale un nombre a la tabla y, luego, haz clic en Crear tabla.

Paso 3: Habilita Data Catalog

A continuación, habilita Data Catalog para el proyecto que contiene la tabla de BigQuery que deseas inspeccionar con la Protección de datos sensibles.

Para habilitar Data Catalog mediante la consola de Google Cloud, haz lo siguiente:

  1. Registra tu aplicación en Data Catalog.

    Registrar tu aplicación en Data Catalog

  2. En la página de registro, en la lista desplegable Crear un proyecto, selecciona el proyecto que deseas usar con Data Catalog.
  3. Después de seleccionar el proyecto, haz clic en Continuar.

Data Catalog ya se encuentra habilitado para tu proyecto.

Paso 4: Habilita la protección de datos sensibles

Habilita la protección de datos sensibles para el mismo proyecto para el que habilitaste Data Catalog.

Para habilitar Sensitive Data Protection con la consola de Google Cloud, haz lo siguiente:

  1. Registra tu aplicación en Protección de datos sensibles.

    Registra tu aplicación en Protección de datos sensibles

  2. En la página de registro, en la lista desplegable Crear un proyecto, selecciona el mismo proyecto que elegiste en el paso anterior.
  3. Después de seleccionar el proyecto, haz clic en Continuar.

Sensitive Data Protection ya se encuentra habilitado para tu proyecto.

Configura y ejecuta una tarea de inspección de Sensitive Data Protection

Puedes configurar y ejecutar un trabajo de inspección de Protección de datos sensibles con la consola de Google Cloud o la API de DLP.

Las plantillas de etiquetas de Data Catalog se almacenan en el mismo proyecto y la misma región que la tabla de BigQuery. Si inspeccionas una tabla de otro proyecto, debes otorgar el rol de propietario de TagTemplate de Data Catalog (roles/datacatalog.tagTemplateOwner) al agente de servicio de Protección de datos sensibles en el proyecto en el que existe la tabla de BigQuery.

Consola de Google Cloud

Para configurar un trabajo de inspección de una tabla de BigQuery con Protección de datos sensibles, sigue estos pasos:

  1. En la sección Protección de datos sensibles de la consola de Google Cloud, ve a la página Crear trabajo o activador de trabajo.

    Ir a Crear trabajo o activador de trabajo

  2. Ingresa la información del trabajo de Protección de datos sensibles y haz clic en Continuar para completar cada paso:

    • En el Paso 1: Elige los datos de entrada, asígnale un nombre al trabajo mediante el ingreso de un valor en el campo Nombre. En Ubicación, elige BigQuery en el menú Tipo de almacenamiento y, luego, ingresa la información de la tabla que deseas inspeccionar. La sección Muestreo está preconfigurada para ejecutar una inspección de muestra con tus datos. Puedes ajustar los campos Limitar filas por y Cantidad máxima de filas para ahorrar recursos si tienes una gran cantidad de datos. Para obtener más detalles, consulta Elige los datos de entrada.

    • (Opcional) En el Paso 2: Configura la detección, puedes configurar qué tipos de datos buscar, llamados “Infotipos”. Para los fines de esta explicación, mantén seleccionados los Infotipos predeterminados. Para obtener más detalles, consulta Configura la detección.

    • En Paso 3: Agrega acciones, habilita Guardar en Data Catalog.

    • (Opcional) En el Paso 4: Programa, a los fines de esta explicación, deja el menú configurado como Ninguno para que la inspección se ejecute solo una vez. Para obtener más información sobre cómo programar tareas de inspección recurrentes, consulta Programa.

  3. Haz clic en Crear. El trabajo se ejecuta de inmediato.

API de DLP

En esta sección, configurarás y ejecutarás un trabajo de inspección de la Protección de datos sensibles.

El trabajo de inspección que configures aquí le indica a la Protección de datos sensibles que inspeccione los datos de muestra de BigQuery que se describen en el Paso 2 anterior o tus propios datos de BigQuery. En la configuración del trabajo que especifiques también se le indicará a Sensitive Data Protection que guarde los resultados de la inspección en Data Catalog.

Paso 1: Anota tu identificador de proyecto

  1. Ve a la consola de Google Cloud.

    Ve a la consola de Google Cloud.

  2. Haz clic en Seleccionar.

  3. En la lista desplegable Seleccionar de, selecciona la organización para la que habilitaste Data Catalog.

  4. En ID, copia el ID del proyecto que contiene los datos que deseas inspeccionar. Este es el proyecto que se describe en el paso previo de esta página, Configura repositorios de almacenamiento.

  5. En Nombre, haz clic en el proyecto para seleccionarlo.

Paso 2: Abre el Explorador de API y configura el trabajo

  1. Ve al Explorador de API en la página de referencia del método dlpJobs.create. Para mantener estas instrucciones disponibles, haz clic con el botón derecho en el siguiente vínculo y ábrelo en una pestaña o una ventana nueva:

    Abrir el Explorador de API

  2. En el cuadro de diálogo parent, ingresa lo siguiente, en donde project-id es el ID del proyecto que anotaste en el paso anterior:

    projects/project-id

    A continuación, copia el siguiente JSON. Selecciona el contenido del campo Cuerpo de la solicitud en el Explorador de API y, luego, pega el JSON para reemplazar el contenido. Asegúrate de reemplazar los marcadores de posición project-id, bigquery-dataset-name y bigquery-table-name por el ID del proyecto y los nombres del conjunto de datos y la tabla de BigQuery reales, respectivamente.

    {
      "inspectJob":
      {
        "storageConfig":
        {
          "bigQueryOptions":
          {
            "tableReference":
            {
              "projectId": "project-id",
              "datasetId": "bigquery-dataset-name",
              "tableId": "bigquery-table-name"
            }
          }
        },
        "inspectConfig":
        {
          "infoTypes":
          [
            {
              "name": "EMAIL_ADDRESS"
            },
            {
              "name": "PERSON_NAME"
            },
            {
              "name": "US_SOCIAL_SECURITY_NUMBER"
            },
            {
              "name": "PHONE_NUMBER"
            }
          ],
          "includeQuote": true,
          "minLikelihood": "UNLIKELY",
          "limits":
          {
            "maxFindingsPerRequest": 100
          }
        },
        "actions":
        [
          {
            "publishFindingsToCloudDataCatalog": {}
          }
        ]
      }
    }
    

Para obtener más información sobre las opciones de inspección disponibles, consulta Inspecciona el almacenamiento y las bases de datos en busca de datos sensibles. Para obtener una lista completa de los tipos de información que puede inspeccionar la Protección de datos sensibles, consulta la referencia de los Infotipos.

Paso 3: Ejecuta la solicitud para iniciar el trabajo de inspección

Después de haber seguido los pasos anteriores para configurar el trabajo, haz clic en Ejecutar a fin de enviar la solicitud. Si la solicitud es exitosa, aparecerá una respuesta con un código de éxito y un objeto JSON que indica el estado del trabajo de Protección de datos sensibles que acabas de crear.

La respuesta a tu solicitud de inspección incluye el ID del trabajo de inspección como la clave "name" y el estado actual del trabajo de inspección como la clave "state". Debido a que acabas de enviar la solicitud, el estado del trabajo en ese momento es "PENDING".

Verifica el estado del trabajo de inspección de Sensitive Data Protection

Después de enviar la solicitud de inspección, la tarea de inspección comienza de inmediato.

Consola de Google Cloud

Para verificar el estado del trabajo de inspección, haz lo siguiente:

  1. En la consola de Google Cloud, abre Protección de datos sensibles.

    Ir a Protección de datos sensibles

  2. Haz clic en la pestaña Trabajos y activadores de trabajos y, luego, en Todos los trabajos.

Es probable que el trabajo que acabas de ejecutar se encuentre en la parte superior de la lista. Verifica que el estado de la columna Estado sea Listo.

Puedes hacer clic en el ID del trabajo para ver sus resultados. Cada detector de Infotipos que se enumera en la página de detalles del trabajo va seguido de la cantidad de coincidencias que se encontraron en el contenido.

API de DLP

Para verificar el estado del trabajo de inspección, haz lo siguiente:

  1. Para ir al Explorador de API en la página de referencia del método dlpJobs.get, haz clic en el siguiente botón:

    Abrir el Explorador de API

  2. En el cuadro de texto name, escribe el nombre del trabajo de la respuesta JSON a la solicitud de inspección con el siguiente formato:

    projects/project-id/dlpJobs/job-id
    El ID del trabajo tiene el formato i-1234567890123456789.

  3. Para enviar la solicitud, haz clic en Ejecutar.

Si la clave "state" del objeto JSON de respuesta indica que el trabajo está "DONE", significa que el trabajo de inspección finalizó.

Para ver el resto de la respuesta JSON, desplázate hacia abajo en la página. En "result" > "infoTypeStats", cada tipo de información enumerado debe tener un valor "count" correspondiente. De lo contrario, asegúrate de haber ingresado el JSON de forma adecuada y de que la ruta de acceso o la ubicación de tus datos sea correcta.

Una vez que se complete el trabajo de inspección, puedes continuar con la siguiente sección de esta guía para ver los resultados de la inspección en Security Command Center.

Consulta los resultados de la inspección de la Protección de datos sensibles en Data Catalog

Debido a que le indicaste a Sensitive Data Protection que envíe los resultados de su trabajo de inspección a Data Catalog, ahora puedes ver la plantilla de etiquetas y las etiquetas creadas de forma automática en la IU de Data Catalog:

  1. Ve a la página Data Catalog en la consola de Google Cloud.

    Ir a Data Catalog

  2. Busca la tabla que inspeccionaste.
  3. Haz clic en los resultados que coincidan con tu tabla para ver los metadatos de la tabla.

En la siguiente captura de pantalla, se muestra la vista de metadatos de Data Catalog de una tabla de ejemplo:

Resultados de la Protección de datos sensibles en Data Catalog.

Resumen de la inspección

Los resultados de Sensitive Data Protection se incluyen de forma resumida en la tabla que inspeccionaste. En este resumen, se incluyen los recuentos totales de Infotipos, así como los datos de resumen sobre el trabajo de inspección, en los que se incluye el ID del recurso del trabajo y las fechas.

Se enumeran todos los infoTypes que se inspeccionaron. Los que tienen resultados muestran un recuento superior a cero.

Realiza una limpieza

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que se usaron en este tema, realiza una de las siguientes acciones en función de si usaste datos de muestra o tus propios datos:

Borra el proyecto

La manera más fácil de eliminar la facturación es borrar el proyecto que creaste con las instrucciones que se proporcionan en este tema.

Para borrar el proyecto, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Proyectos.

    Ir a la página Proyectos

  2. En la lista de proyectos, selecciona el que quieres borrar y haz clic en Delete project (Borrar proyecto).Después de seleccionar la casilla de verificación ubicada junto al nombre del proyecto, haz clic en Delete project (Borrar proyecto)
  3. En el cuadro de diálogo, escribe el ID del proyecto y haz clic en Cerrar para borrar el proyecto.

Si borras tu proyecto con este método, también se borrarán el trabajo de Protección de datos sensibles y el bucket de Cloud Storage que creaste. Ya terminaste. No es necesario seguir las instrucciones en las siguientes secciones.

Borra el trabajo o el activador de trabajos de Protección de datos sensibles

Si inspeccionaste tus propios datos, borra el activador de trabajos o el trabajo de inspección que acabas de crear.

Consola de Google Cloud

  1. En la consola de Google Cloud, abre Protección de datos sensibles.

    Ir a Protección de datos sensibles

  2. Haz clic en la pestaña Trabajos y activadores de trabajos y, luego, en la pestaña Activadores de trabajos.

  3. En la columna Acciones del activador de trabajos que deseas borrar, haz clic en el menú Más acciones (se muestra como tres puntos verticales)  y, luego, haz clic en Borrar.

De manera opcional, también puedes borrar los detalles del trabajo que ejecutaste. Haz clic en la pestaña Todos los trabajos y, luego, en la columna Acciones del trabajo que deseas borrar. A continuación, haz clic en el menú Más acciones (se muestra como tres puntos verticales)  y, luego, en Borrar.

API de DLP

  1. Para ir al Explorador de API en la página de referencia del método dlpJobs.delete, haz clic en el siguiente botón:

    Abrir el Explorador de API

  2. En el cuadro name, escribe el nombre del trabajo de la respuesta JSON a la solicitud de inspección, el cual tiene el siguiente formato:

    projects/project-id/dlpJobs/job-id
    El ID del trabajo tiene el formato i-1234567890123456789.

Si creaste trabajos de inspección adicionales o si deseas asegurarte de haber borrado el trabajo de forma adecuada, puedes enumerar todos los trabajos existentes:

  1. Para ir al Explorador de API en la página de referencia del método dlpJobs.list, haz clic en el siguiente botón:

    Abrir el Explorador de API

  2. En el cuadro parent, escribe el identificador del proyecto de la siguiente manera, en el que project-id es tu identificador de proyecto:

    projects/project-id

  3. Haz clic en Ejecutar.

Si no se enumeran trabajos en la respuesta, significa que borraste todos los trabajos. Si se enumeran trabajos en la respuesta, repite el procedimiento de eliminación anterior para esos trabajos.

¿Qué sigue?