Der Messwert k-Map ist der k-Anonymität sehr ähnlich, mit der Ausnahme, dass hier davon ausgegangen wird, dass der Angreifer wahrscheinlich nicht weiß, wessen Daten im Dataset gespeichert sind. Verwenden Sie k-Map, wenn Ihr Dataset relativ klein ist oder die Generalisierung der Attribute zu aufwendig wäre.
Ebenso wie bei der k-Anonymität müssen Sie für k-Map bestimmen, welche Spalten der Datenbank Quasi-Identifikatoren enthalten. Damit geben Sie an, welche Daten ein Angreifer höchstwahrscheinlich verwenden würde, um Personen zu re-identifizieren. Für die Berechnung eines k-Map-Werts ist außerdem ein Reidentifikations-Dataset erforderlich – eine größere Tabelle, mit deren Daten die Zeilen des ursprünglichen Datasets verglichen werden können.
In diesem Thema wird gezeigt, wie Sie mit Sensitive Data Protection k-Map-Werte für ein Dataset berechnen. Bevor Sie fortfahren, lesen Sie weitere Informationen zur k-Map oder zur Risikoanalyse im Allgemeinen im Thema zum Konzept der Risikoanalyse.
Hinweise
Führen Sie folgende Schritte aus, bevor Sie fortfahren:
- Melden Sie sich bei Ihrem Google-Konto an.
- Wählen Sie in der Google Cloud Console auf der Seite zur Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines. Projektauswahl aufrufen
- Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. Weitere Informationen zur Abrechnung Ihres Projekts.
- Aktivieren Sie den Schutz sensibler Daten. Schutz sensibler Daten aktivieren
- Wählen Sie das zu analysierende BigQuery-Dataset aus. Der Schutz sensibler Daten schätzt den Messwert k-Map durch Scannen einer BigQuery-Tabelle.
- Bestimmen Sie die Dataset-Typen, die Sie zur Modellierung des Angriffs-Datasets verwenden möchten. Weitere Informationen finden Sie auf der Referenzseite für das Objekt
KMapEstimationConfig
sowie in den Begriffen und Techniken der Risikoanalyse.
k-Map-Schätzungen berechnen
Sie können mit dem Schutz sensibler Daten k-Map-Werte schätzen. Dabei wird ein statistisches Modell zur Schätzung der Re-Identifizierbarkeit eines Datasets verwendet. Dies unterscheidet sich von den anderen Methoden der Risikoanalyse, bei denen das Dataset mit Angriffspotenzial explizit bekannt ist. Je nach Datentyp verwendet der Schutz sensibler Daten öffentlich verfügbare Datasets (z. B. aus der US-Volkszählung) oder ein benutzerdefiniertes statistisches Modell (z. B. eine oder mehrere von Ihnen angegebene BigQuery-Tabellen) oder leitet die Daten aus der Werteverteilung in Ihrem Eingabedataset ab. Weitere Informationen finden Sie auf der Referenzseite für das Objekt KMapEstimationConfig
.
Für die Berechnung einer k-Map-Schätzung mithilfe des Schutzes sensibler Daten konfigurieren Sie zuerst den Risikojob. Stellen Sie eine Anfrage an die Ressource projects.dlpJobs
, wobei PROJECT_ID für Ihre Projekt-ID steht:
https://dlp.googleapis.com/v2/projects/PROJECT_ID/dlpJobs
Die Anfrage enthält ein RiskAnalysisJobConfig
-Objekt, das Folgendes umfasst:
Ein
PrivacyMetric
-Objekt. Hier geben Sie an, dass Sie k-Map berechnen möchten, indem Sie einKMapEstimationConfig
-Objekt angeben, das Folgendes enthält:quasiIds[]
: erforderlich. Felder (TaggedField
-Objekte), die als Quasi-Identifikatoren betrachtet werden, die durchsucht und zur Berechnung von k-Map verwendet werden. Zwei Spalten dürfen nicht dasselbe Tag haben. Dies gilt für jedes der folgenden Tags:- infoType: Dies bewirkt, dass der Schutz sensibler Daten das relevante öffentliche Dataset als statistisches Bevölkerungsmodell verwendet, einschließlich US-Postleitzahlen, Regionscodes, Altersgruppen und Geschlecht.
- Benutzerdefinierter infoType: benutzerdefiniertes Tag zur Angabe einer Hilfstabelle (eines
AuxiliaryTable
-Objekts), die statistische Informationen zu den möglichen Werten dieser Spalte enthält. - Tag
inferred
: Wenn kein semantisches Tag angegeben ist, geben Sieinferred
an. Der Schutz sensibler Daten leitet das statistische Modell von der Werteverteilung in den Eingabedaten ab.
regionCode
: Ein Regionscode gemäß ISO 3166-1 Alpha-2, den der Sensitive Data Protection-Dienst für die statistische Modellierung verwendet. Dieser Wert ist erforderlich, wenn keine Spalte mit einem regionsspezifischen infoType (z. B. einer US-Postleitzahl) oder einem Regionscode gekennzeichnet ist.auxiliaryTables[]
: Hilfstabellen (AuxiliaryTable
-Objekte), die in der Analyse verwendet werden sollen. Jedes benutzerdefinierte Tag, mit dem eine Spalte von Quasi-Identifikatoren gekennzeichnet wird (ausquasiIds[]
), darf jeweils nur in einer Zeile der Hilfstabelle enthalten sein.
Ein
BigQueryTable
-Objekt. Geben Sie die zu untersuchende BigQuery-Tabelle an. Dazu beziehen Sie die folgenden Parameter ein:projectId
: die Projekt-ID des Projekts, das die Tabelle enthältdatasetId
: die Dataset-ID der TabelletableId
: der Name der Tabelle
Ein oder mehrere
Action
-Objekte für Aktionen, die nach Abschluss des Jobs in der angegebenen Reihenfolge ausgeführt werden sollen. JedesAction
-Objekt kann eine der folgenden Aktionen enthalten:SaveFindings
-Objekt: speichert die Ergebnisse des Risikoanalysescans in einer BigQuery-TabellePublishToPubSub
-Objekt: Veröffentlicht eine Benachrichtigung in einem Cloud Pub/Sub-Thema
PublishSummaryToCscc
-Objekt: Speichert eine Ergebniszusammenfassung im Security Command Center.PublishFindingsToCloudDataCatalog
-Objekt: Speichert Ergebnisse in Data Catalog.JobNotificationEmails
-Objekt: Sendet Ihnen eine E-Mail mit Ergebnissen.PublishToStackdriver
-Objekt: Speichert Ergebnisse in Google Cloud Observability.
Codebeispiele
Im folgenden Beispielcode in mehreren Sprachen wird gezeigt, wie Sie mit dem Schutz sensibler Daten einen k-Map-Wert berechnen können.
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Informationen zum Installieren und Verwenden der Clientbibliothek für den Schutz sensibler Daten finden Sie unter Clientbibliotheken für den Schutz sensibler Daten.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Sensitive Data Protection zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
K-Map-Job-Ergebnisse aufrufen
Wenn Sie die Ergebnisse des k-Map-Risikoanalysejobs mit der REST API abrufen möchten, senden Sie die folgende GET-Anfrage an die projects.dlpJobs
-Ressource. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID und JOB_ID durch die ID des Jobs, für den Sie Ergebnisse erhalten möchten.
Die Job-ID wurde beim Start des Jobs zurückgegeben und kann auch durch Auflisten aller Jobs abgerufen werden.
GET https://dlp.googleapis.com/v2/projects/PROJECT_ID/dlpJobs/JOB_ID
Die Anfrage gibt ein JSON-Objekt zurück, das eine Instanz des Jobs enthält. Die Ergebnisse der Analyse befinden sich im Schlüssel "riskDetails"
in einem AnalyzeDataSourceRiskDetails
-Objekt. Weitere Informationen finden Sie in der API-Referenz zur Ressource DlpJob
.
Nächste Schritte
- k-Anonymitätswert für ein Dataset berechnen
- l-Diversität-Wert für ein Dataset berechnen
- δ-Präsenzwert für ein Dataset berechnen