En esta página se describe cómo añadir automáticamente aspectos de Dataplex Universal Catalog a sus datos después de que Protección de Datos Sensibles cree perfiles de sus recursos. En esta página también se incluyen consultas de ejemplo que puede usar para buscar datos en su organización y proyectos con valores de aspecto específicos.
Esta función es útil si quieres enriquecer los metadatos de Dataplex Universal Catalog con las estadísticas obtenidas de los perfiles de datos de Protección de Datos Sensibles. Los aspectos generados incluyen las siguientes estadísticas:
- Nivel de sensibilidad calculado de la tabla o del conjunto de datos
- Nivel de riesgo de datos calculado de la tabla o del conjunto de datos
- Tipos de información (infoTypes) que se han detectado en la tabla o el conjunto de datos
Las estadísticas de los perfiles de datos de Protección de Datos Sensibles pueden ayudarte a usar el catálogo universal de Dataplex para descubrir datos sensibles y de alto riesgo en tu organización. Usa estas estadísticas para tomar decisiones fundamentadas sobre cómo gestionar y controlar tus datos.
Acerca de los perfiles de datos
Puedes configurar Protección de Datos Sensibles para que genere automáticamente perfiles sobre los datos de una organización, una carpeta o un proyecto. Los perfiles de datos contienen métricas y metadatos sobre tus datos, y te ayudan a determinar dónde se encuentran los datos sensibles y de alto riesgo. Protección de Datos Sensibles genera informes de estas métricas con distintos niveles de detalle.
Puede enviar perfiles de datos a otros Google Cloud servicios, como Dataplex Universal Catalog, Pub/Sub, Security Command Center y Google Security Operations, para mejorar sus flujos de trabajo de gobernanza de datos, alertas y seguridad.
Acerca de Dataplex Universal Catalog
Dataplex Universal Catalog proporciona un inventario unificado de Google Cloud recursos.
Dataplex Universal Catalog te permite usar aspectos para añadir metadatos empresariales y técnicos a tus datos, de modo que puedas registrar el contexto y el conocimiento sobre tus recursos. Después, puedes buscar y descubrir datos en toda tu organización, así como habilitar el gobierno de datos en tus recursos de datos. Para obtener más información, consulta Aspectos.
Recursos compatibles
Protección de Datos Sensibles puede asociar automáticamente aspectos a las entradas de Dataplex Universal Catalog de los siguientes recursos:
- Tablas de BigQuery
Tablas de Cloud SQL
Conjuntos de datos de Vertex AI creados a partir de tablas de BigQuery
Dataplex Universal Catalog no ingiere los contenedores de Cloud Storage, por lo que esta función no está disponible cuando se crea un perfil de datos de Cloud Storage.
Cómo funciona
El flujo de trabajo de alto nivel para crear automáticamente aspectos de Dataplex Universal Catalog basados en perfiles de datos es el siguiente:
Crea o edita una configuración de análisis para un tipo de recurso compatible.
En el paso Añadir acciones, compruebe que la acción Enviar al catálogo de Dataplex como aspectos esté habilitada.
Si estás creando una configuración de análisis, esta acción está habilitada de forma predeterminada.
Si estás editando una configuración de análisis, habilita esta acción.
Protección de Datos Sensibles añade o actualiza el aspecto Sensitive Data Protection profile de la entrada de Dataplex Universal Catalog de cada recurso compatible cuyo perfil crees. Después, puedes buscar en el catálogo universal de Dataplex todos los datos de tu organización o proyecto con valores de aspecto específicos.
Cuando habilita la acción Enviar al catálogo de Dataplex como aspectos, Protección de Datos Sensibles aplica esta acción solo a los perfiles nuevos y actualizados. Los perfiles que no se actualicen no se enviarán a Dataplex Universal Catalog.
Campos de nivel superior
El aspecto resultante de una tabla perfilada puede tener los siguientes campos de nivel superior:
| Nombre visible | Valor de ejemplo | Descripción |
|---|---|---|
Sensitivity |
MODERATE |
El nivel de sensibilidad calculado de la tabla |
Risk |
MODERATE |
El nivel de riesgo de datos calculado de la tabla |
InfoTypes |
|
Lista de todos los infoTypes encontrados en la tabla, incluidos los infoTypes predichos y otros infoTypes. Este campo se incluye si se ha detectado al menos un infoType en la tabla. |
Column InfoTypes |
|
Lista de todos los infoTypes previstos que se han encontrado en todas las columnas de la tabla. Este campo se incluye si se ha detectado al menos un infoType previsto en la tabla. |
Project Profile |
Consulta las secciones Perfil de proyecto y perfil de organización de esta página. | Se incluye si el recurso se ha analizado mediante una configuración de análisis a nivel de proyecto. |
Organization Profile |
Consulta las secciones Perfil de proyecto y perfil de organización de esta página. | Se incluye si el recurso se ha analizado mediante una configuración de análisis a nivel de organización o de carpeta. |
Si se ha creado un perfil del recurso tanto a nivel de proyecto como de organización o carpeta, Protección de Datos Sensibles agrega los valores de ambos perfiles. El aspecto proporciona una unión de los infoTypes detectados y usa las clasificaciones de sensibilidad y riesgo de datos más altas de ambos perfiles.
Por ejemplo, supongamos que el perfil a nivel de proyecto califica la sensibilidad del recurso como MODERATE y el perfil a nivel de organización la califica como LOW. En este caso, el valor del campo Sensitivity de nivel superior del aspecto es MODERATE.
Campos de perfil de proyecto y de organización
El aspecto Sensitive Data Protection profile resultante incluye uno o ambos de los siguientes campos de nivel superior, en función del nivel en el que se haya creado el perfil del recurso:
Project Profile- Se incluye en el aspecto si el recurso se ha perfilado mediante una configuración de análisis a nivel de proyecto.
Organization Profile- Se incluye en el aspecto si se ha creado un perfil del recurso mediante una configuración de análisis a nivel de organización o de carpeta.
Si el recurso se ha analizado tanto a nivel de proyecto como a nivel de organización o carpeta, el aspecto resultante tendrá los campos Project Profile y Organization Profile.
Cada campo Project Profile o Organization Profile contiene campos Sensitivity y Risk anidados con los valores que se indican en el perfil de datos. Si el perfil de datos tiene infoTypes predichos y otros infoTypes, también estarán disponibles como campos anidados Column InfoTypes y InfoTypes. Además, cada campo Project Profile o Organization Profile contiene los siguientes campos anidados:
ProfileNombre completo del recurso del perfil de datos. Ejemplos:
- Perfil a nivel de proyecto:
projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID - Perfil a nivel de organización o de carpeta:
organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
- Perfil a nivel de proyecto:
Profile LinkUn enlace al perfil en la Google Cloud consola. Ejemplos:
- Perfil a nivel de proyecto:
https://console.cloud.google.com/security/sensitive-data-protection/projects/PROJECT_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID - Perfil a nivel de organización o de carpeta:
https://console.cloud.google.com/security/sensitive-data-protection/organizations/ORGANIZATION_ID/locations/LOCATION/tableDataProfiles/PROFILE_ID
- Perfil a nivel de proyecto:
Habilitar la API Dataplex
La API de Dataplex debe estar habilitada en cada proyecto que contenga recursos a los que quiera añadir aspectos. En esta sección se describe cómo habilitar la API Dataplex en un solo proyecto o en todos los proyectos de una organización o carpeta.
Habilitar la API Dataplex en un solo proyecto
Selecciona el proyecto en el que quieras habilitar la API Dataplex.
-
Enable the Dataplex API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
Habilitar la API Dataplex en todos los proyectos de una organización o una carpeta
En esta sección se proporciona una secuencia de comandos que busca todos los proyectos de una organización o una carpeta y habilita la API Dataplex en cada uno de esos proyectos.
Para obtener los permisos que necesitas para habilitar la API Dataplex en todos los proyectos de una organización o una carpeta, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:
-
Lector de recursos de Cloud (
roles/cloudasset.viewer) en la organización o la carpeta -
Usuario de DLP (
roles/dlp.user) en cada proyecto en el que quieras habilitar la API de Dataplex
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para habilitar la API de Dataplex en todos los proyectos de una organización o una carpeta. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para habilitar la API Dataplex en todos los proyectos de una organización o una carpeta, se necesitan los siguientes permisos:
-
Para buscar todos los proyectos de una organización o una carpeta, haz lo siguiente:
cloudasset.assets.searchAllResourcesen la organización o la carpeta -
Para habilitar la API de Dataplex, sigue estos pasos:
serviceusage.services.useen cada proyecto en el que quieras habilitar la API de Dataplex
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Para habilitar la API Dataplex en todos los proyectos de una organización o una carpeta, sigue estos pasos:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Ejecuta la siguiente secuencia de comandos:
#!/bin/bash RESOURCE_ID="RESOURCE_ID" gcloud asset search-all-resources \ --scope="RESOURCE_TYPE/$RESOURCE_ID" \ --asset-types="cloudresourcemanager.googleapis.com/Project" \ --format="value(name)" | while read project_name; do project_id=$(echo "$project_name" | sed 's|.*/||') gcloud services enable "dataplex.googleapis.com" --project="$project_id" doneHaz los cambios siguientes:
RESOURCE_ID: número de organización o de carpeta del recurso que contiene los proyectosRESOURCE_TYPE: el tipo de recurso que contiene los proyectos (organizationsofolders).
-
Visor de catálogo de Dataplex (
roles/dataplex.catalogViewer) -
Lector de datos de BigQuery (
roles/bigquery.dataViewer) -
Lector de Vertex AI (
roles/aiplatform.viewer) -
Ver las entradas de Dataplex Universal Catalog:
-
dataplex.entries.list -
dataplex.entries.get
-
-
Ver conjuntos de datos y tablas de BigQuery:
-
bigquery.datasets.get -
bigquery.tables.get
-
-
Para ver los conjuntos de datos de Vertex AI, haz lo siguiente:
aiplatform.datasets.get En la Google Cloud consola, ve a la página de búsqueda de Dataplex Universal Catalog. Search
Selecciona tu organización o proyecto.
En Elegir plataforma de búsqueda, selecciona Dataplex Universal Catalog como modo de búsqueda.
En el campo Buscar, introduce lo siguiente:
name:TABLE_IDSustituye
TABLE_IDpor el ID de la tabla de la que se ha creado el perfil.En la lista que aparece, haz clic en el nombre de la tabla. Aparecerán los detalles de la tabla de BigQuery. Los
Sensitive Data Protection profileaspectos asociados se muestran en la sección Etiquetas y aspectos opcionales.
Roles y permisos para ver aspectos
Para obtener los permisos que necesitas para buscar aspectos asociados a tus recursos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en los recursos:
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para buscar aspectos asociados a tus recursos. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para buscar aspectos asociados a tus recursos, se necesitan los siguientes permisos:
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Para obtener más información sobre los permisos necesarios para usar Dataplex Universal Catalog, consulta Permisos de gestión de identidades y accesos de Dataplex Universal Catalog.
Buscar el aspecto generado de un perfil de datos de tabla determinado
Para obtener más información sobre cómo buscar recursos, consulta Buscar recursos en Dataplex Universal Catalog.
Ejemplos de consultas de búsqueda
En esta sección se proporcionan consultas de búsqueda de ejemplo que puede usar en Dataplex Universal Catalog para encontrar datos de su organización o proyecto con valores de aspectos específicos.
Solo puede encontrar los datos a los que tiene acceso. El acceso a los datos se controla mediante permisos de gestión de identidades y accesos. Para obtener más información, consulta la sección Roles y permisos para ver aspectos de esta página.
Puedes introducir estas consultas de ejemplo en el campo Búsqueda de la página Búsqueda del catálogo universal de Dataplex.
Para obtener información sobre cómo formular las consultas, consulta Sintaxis de búsqueda de Dataplex Universal Catalog.
Buscar todos los recursos que tengan el aspecto de perfil de Protección de Datos Sensibles
aspect:sensitive-data-protection-profile
Buscar todos los recursos con una puntuación de sensibilidad determinada
aspect:sensitive-data-protection-profile.sensitivity=SENSITIVITY_SCORE
Sustituye SENSITIVITY_SCORE por HIGH, MODERATE,
UNKNOWN o LOW.
Para obtener más información, consulta Niveles de sensibilidad y riesgo de los datos.
Buscar todos los recursos con una puntuación de riesgo determinada
aspect:sensitive-data-protection-profile.risk=DATA_RISK_LEVEL
Sustituye DATA_RISK_LEVEL por HIGH, MODERATE,
UNKNOWN o LOW.
Para obtener más información, consulta Niveles de sensibilidad y riesgo de los datos.
Buscar todos los recursos que tengan un perfil de nivel de proyecto
aspect:sensitive-data-protection-profile.projectProfile
Buscar todos los recursos que tienen un perfil a nivel de organización
aspect:sensitive-data-protection-profile.organizationProfile