Enviar los resultados de la inspección a Dataplex Universal Catalog como aspectos

En este documento se describe cómo inspeccionar una tabla de BigQuery para buscar datos sensibles y enviar los resultados de la inspección a Dataplex Universal Catalog. Esta acción añade automáticamente un aspecto a la entrada de Dataplex Universal Catalog asociada a tu tabla de BigQuery.

En este documento también se proporcionan consultas de ejemplo que puede usar para buscar datos en su organización y en sus proyectos con valores de aspecto específicos.

Esta función es útil si quieres enriquecer los metadatos de Dataplex Universal Catalog con clasificaciones de datos sensibles procedentes de trabajos de inspección de Protección de Datos Sensibles.

Los aspectos generados incluyen los siguientes detalles:

  • Nombre de la tarea de inspección
  • Los tipos de información (infoTypes) que se han detectado en la tabla

Acerca de Dataplex Universal Catalog

Dataplex Universal Catalog proporciona un inventario unificado de Google Cloud recursos.

Dataplex Universal Catalog te permite usar aspectos para añadir metadatos empresariales y técnicos a tus datos, de modo que puedas registrar el contexto y el conocimiento sobre tus recursos. Después, puedes buscar y descubrir datos en toda tu organización, así como habilitar el gobierno de datos en tus recursos de datos. Para obtener más información, consulta Aspectos.

Cómo funciona

Para crear automáticamente aspectos de Dataplex Universal Catalog basados en los resultados de un trabajo de inspección, sigue este flujo de trabajo general:

  1. Crea o edita una tarea de inspección que inspeccione una tabla de BigQuery. Para obtener instrucciones, consulta el artículo Inspeccionar una tabla de BigQuery.

  2. En el paso Añadir acciones, habilita Publicar en Dataplex Universal Catalog.

Protección de Datos Sensibles añade o actualiza el aspecto Sensitive Data Protection job result de la entrada de Dataplex Universal Catalog asociada a la tabla de BigQuery. Después, puedes buscar en el catálogo universal de Dataplex todos los datos de tu organización o proyecto con valores de aspecto específicos. Para ver consultas de ejemplo, consulta la sección Ejemplos de consultas de búsqueda de este documento.

El aspecto del catálogo universal de Dataplex resultante se almacena en el mismo proyecto y región que la tabla de BigQuery.

Campos de aspecto

El aspecto Sensitive Data Protection job result tiene los siguientes campos:

Nombre del trabajo
Nombre completo del recurso del trabajo de inspección (por ejemplo, projects/example-project/locations/us/dlpJobs/i-8992079400000000000).
Recuentos de infoTypes
Nombres de los infoTypes que ha buscado la tarea de inspección, tal como se especifica en la configuración de inspección, y el número de resultados de cada infoType. Un infoType que no tiene resultados tiene un recuento de 0.
Hora de finalización
La fecha y la hora en que finalizó la tarea de inspección.
Es análisis completo
Indica si el trabajo de inspección ha analizado todas las filas de la tabla. Si el muestreo está habilitado en la tarea de inspección, por ejemplo, el valor de este campo es False.
Tiene hallazgos
Si la tarea de inspección ha detectado alguno de los infoTypes que ha analizado.

Habilitar la API Dataplex

La API Dataplex debe estar habilitada en cada proyecto que contenga datos a los que quiera añadir aspectos. En esta sección se describe cómo habilitar la API Dataplex en un solo proyecto o en todos los proyectos de una organización o carpeta.

Habilitar la API Dataplex en un solo proyecto

  1. Selecciona el proyecto en el que quieras habilitar la API Dataplex.

    Ir al selector de proyectos

  2. Enable the Dataplex API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Habilitar la API Dataplex en todos los proyectos de una organización o una carpeta

En esta sección se proporciona una secuencia de comandos que busca todos los proyectos de una organización o una carpeta y habilita la API Dataplex en cada uno de esos proyectos.

Para obtener los permisos que necesitas para habilitar la API Dataplex en todos los proyectos de una organización o una carpeta, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para habilitar la API de Dataplex en todos los proyectos de una organización o una carpeta. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para habilitar la API Dataplex en todos los proyectos de una organización o una carpeta, se necesitan los siguientes permisos:

  • Para buscar todos los proyectos de una organización o una carpeta, haz lo siguiente: cloudasset.assets.searchAllResources en la organización o la carpeta
  • Para habilitar la API de Dataplex, sigue estos pasos: serviceusage.services.use en cada proyecto en el que quieras habilitar la API de Dataplex

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Para habilitar la API Dataplex en todos los proyectos de una organización o una carpeta, sigue estos pasos:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ejecuta la siguiente secuencia de comandos:

    #!/bin/bash

RESOURCE_ID="RESOURCE_ID"

gcloud asset search-all-resources \
    --scope="RESOURCE_TYPE/$RESOURCE_ID" \
    --asset-types="cloudresourcemanager.googleapis.com/Project" \
    --format="value(name)" |
    while read project_name; do
      project_id=$(echo "$project_name" | sed 's|.*/||')
      gcloud services enable "dataplex.googleapis.com" --project="$project_id"
    done

    Haz los cambios siguientes:

    • RESOURCE_ID: número de organización o de carpeta del recurso que contiene los proyectos
    • RESOURCE_TYPE: el tipo de recurso que contiene los proyectos (organizations o folders).

    3. Roles y permisos para ver aspectos

    Para obtener los permisos que necesitas para buscar aspectos asociados a tu tabla de BigQuery, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la tabla:

    Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

    Estos roles predefinidos contienen los permisos necesarios para buscar aspectos asociados a tu tabla de BigQuery. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

    Permisos obligatorios

    Para buscar aspectos asociados a tu tabla de BigQuery, necesitas los siguientes permisos:

    • Ver las entradas de Dataplex Universal Catalog:
      • dataplex.entries.list
      • dataplex.entries.get
    • Ver conjuntos de datos y tablas de BigQuery:
      • bigquery.datasets.get
      • bigquery.tables.get

    También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

    Para obtener más información sobre los permisos necesarios para usar Dataplex Universal Catalog, consulta Permisos de gestión de identidades y accesos de Dataplex Universal Catalog.

    Configurar y ejecutar una tarea de inspección de Protección de Datos Sensibles

    Puedes configurar y ejecutar una tarea de inspección de Protección de Datos Sensibles mediante la Google Cloud consola o la API DLP.

    Consola

    1. En la Google Cloud consola, ve a la página Crear tarea o activador de tareas.

      Ir a Crear tarea o activador de tareas

    2. Selecciona el proyecto.
    3. Introduce los detalles necesarios del trabajo de inspección y los detalles de la tabla de BigQuery que quieras inspeccionar. Para obtener instrucciones, consulta Inspeccionar una tabla de BigQuery. Para ver una lista completa de los tipos de información que puede inspeccionar Protección de Datos Sensibles, consulta la referencia del detector de infoType.
    4. En Añadir acciones, habilita Publicar en Dataplex Universal Catalog.
    5. Haz clic en Crear. La tarea se ejecuta inmediatamente.

    REST

    En el siguiente ejemplo se envía una solicitud projects.locations.dlpJobs.create para inspeccionar una tabla de BigQuery y enviar los resultados a Dataplex Universal Catalog.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • PROJECT_ID: tu ID de proyecto Google Cloud . Los IDs de proyecto son cadenas alfanuméricas.
    • LOCATION: la región o multirregión en la que quieras procesar la solicitud (por ejemplo, europe-west1 o us). Para ver las ubicaciones disponibles, consulta Ubicaciones de Protección de Datos Sensibles.
    • BIGQUERY_DATASET_NAME: nombre del conjunto de datos de BigQuery que contiene la tabla que se va a inspeccionar
    • BIGQUERY_TABLE_NAME: nombre de la tabla de BigQuery que se va a inspeccionar

    Método HTTP y URL: 

    POST https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/dlpJobs

    Cuerpo JSON de la solicitud: 

    {
              "inspectJob":
              {
                "storageConfig":
                {
                  "bigQueryOptions":
                  {
                    "tableReference":
                    {
                      "projectId": "PROJECT_ID",
                      "datasetId": "BIGQUERY_DATASET_NAME",
                      "tableId": "BIGQUERY_TABLE_NAME"
                    }
                  }
                },
                "inspectConfig":
                {
                  "infoTypes":
                  [
                    {
                      "name": "EMAIL_ADDRESS"
                    },
                    {
                      "name": "PERSON_NAME"
                    },
                    {
                      "name": "US_SOCIAL_SECURITY_NUMBER"
                    },
                    {
                      "name": "PHONE_NUMBER"
                    }
                  ],
                  "includeQuote": true,
                  "minLikelihood": "UNLIKELY",
                  "limits":
                  {
                    "maxFindingsPerRequest": 100
                  }
                },
                "actions":
                [
                  {
                    "publishFindingsToDataplexCatalog": {}
                  }
                ]
              }
            }

    Para enviar tu solicitud, despliega una de estas opciones:

    Deberías recibir una respuesta JSON similar a la siguiente:

    {
  "name": "projects/PROJECT_ID/locations/LOCATION/dlpJobs/JOB_ID",
  "type": "INSPECT_JOB",
  "state": "PENDING",
  "inspectDetails": {
    "requestedOptions": {
      "snapshotInspectTemplate": {},
      "jobConfig": {
        "storageConfig": {
          "bigQueryOptions": {
            "tableReference": {
              "projectId": "PROJECT_ID",
              "datasetId": "BIGQUERY_DATASET_NAME",
              "tableId": "BIGQUERY_TABLE_NAME"
            }
          }
        },
        "inspectConfig": {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            },
            {
              "name": "PERSON_NAME"
            },
            {
              "name": "US_SOCIAL_SECURITY_NUMBER"
            },
            {
              "name": "PHONE_NUMBER"
            }
          ],
          "minLikelihood": "UNLIKELY",
          "limits": {
            "maxFindingsPerRequest": 100
          },
          "includeQuote": true
        },
        "actions": [
          {
            "publishFindingsToDataplexCatalog": {}
          }
        ]
      }
    },
    "result": {}
  },
  "createTime": "2025-09-09T00:29:55.951374Z",
  "lastModified": "2025-09-09T00:29:58.022967Z"
}

    Para obtener información sobre cómo obtener los resultados de la tarea de inspección mediante la API DLP, consulta Obtener una tarea.

    Ejemplos de consultas de búsqueda

    En esta sección se proporcionan consultas de búsqueda de ejemplo que puede usar en Dataplex Universal Catalog para encontrar datos de su organización o proyecto con valores de aspectos específicos.

    Solo puede encontrar los datos a los que tiene acceso. El acceso a los datos se controla mediante permisos de gestión de identidades y accesos. Para obtener más información, consulta el apartado Roles y permisos para ver aspectos de este documento.

    Puedes introducir estas consultas de ejemplo en el campo Búsqueda de la página Búsqueda del catálogo universal de Dataplex.

    Ir a la búsqueda

    Para obtener información sobre cómo formular las consultas, consulta Sintaxis de búsqueda de Dataplex Universal Catalog.

    Buscar las entradas de todas las tablas que tengan el aspecto de resultado de la tarea de Protección de Datos Sensibles

    aspect:sensitive-data-protection-job-result

    Buscar las entradas de las tablas inspeccionadas que tengan hallazgos

    aspect:sensitive-data-protection-job-result.hasFindings=True

    Buscar las entradas de las tablas inspeccionadas que no tengan hallazgos

    aspect:sensitive-data-protection-job-result.hasFindings=False

    Buscar las entradas de las tablas que se han inspeccionado por completo

    La siguiente consulta devuelve las entradas de las tablas que Protección de Datos Sensibles ha inspeccionado fila por fila.

    aspect:sensitive-data-protection-job-result.isFullScan=True

    Buscar las entradas de las tablas que no se han inspeccionado por completo

    La siguiente consulta devuelve las entradas de las tablas que Protección de Datos Sensibles ha inspeccionado mediante muestreo.

    aspect:sensitive-data-protection-job-result.isFullScan=False