Una acción de Sensitive Data Protection se genera después de que una operación se completa con éxito o, en el caso de los correos electrónicos, si se produce un error. Por ejemplo, puedes guardar los resultados en una tabla de BigQuery, publicar una notificación en un tema de Pub/Sub o enviar un correo electrónico cuando una operación finaliza correctamente o se detiene en error.
Acciones disponibles
Cuando ejecutas un trabajo de Sensitive Data Protection, se guarda de forma predeterminada un resumen de sus resultados en Sensitive Data Protection. Puedes ver este resumen con Sensitive Data Protection en la consola de Google Cloud. En el caso de los trabajos, también puedes recuperar información de resumen en la API de DLP con el método projects.dlpJobs.get.
La Protección de datos sensibles admite diferentes tipos de acciones según el tipo de operación que se ejecute. Las siguientes son las acciones admitidas.
Guarda los resultados en BigQuery
Guarda los resultados del trabajo de Protección de datos sensibles en una tabla de BigQuery. Antes de ver o analizar los resultados, primero debes asegurarte de que el trabajo se haya completado.
Cada vez que se ejecuta un análisis, Sensitive Data Protection guarda los resultados en la tabla de BigQuery que especifiques. Los resultados exportados contienen detalles sobre la ubicación de cada resultado y la probabilidad de coincidencia. Si deseas que cada resultado incluya la cadena que coincidió con el detector de Infotipo, habilita la opción Incluir comillas.
Si no especificas un ID de tabla, BigQuery asigna un nombre predeterminado a una tabla nueva la primera vez que se ejecuta el análisis. Si especificas una tabla existente, Sensitive Data Protection le adjunta los resultados del análisis.
Cuando se escriben datos en una tabla de BigQuery, el uso de cuotas y la facturación se aplican al proyecto que contiene la tabla de destino.
Si no guardas los resultados en BigQuery, los resultados del análisis solo contendrá estadísticas sobre la cantidad y los infotipos de los resultados.
Publicar en Pub/Sub
Publica una notificación que contenga el nombre del trabajo de Protección de datos sensibles como un atributo en un canal de Pub/Sub. Puedes especificar uno o más temas a los que se enviará el mensaje de notificación. Asegúrate de que la cuenta de servicio de Sensitive Data Protection que ejecuta el trabajo de análisis tenga acceso de publicación en el tema.
Si hay problemas de configuración o permisos con el tema de Pub/Sub, la Protección de datos sensibles reintentará enviar la notificación de Pub/Sub durante un máximo de dos semanas. Después de dos semanas, se descarta la notificación.
Publicar en Security Command Center
Publica un resumen de los resultados del trabajo en Security Command Center. Para obtener más información, consulta Cómo enviar resultados de análisis de Sensitive Data Protection a Security Command Center.
Publicar en Dataplex
Envía los resultados de los trabajos a Dataplex, el servicio de administración de metadatos de Google Cloud.
Notificar por correo electrónico
Enviar un correo electrónico cuando se complete la tarea El correo electrónico se envía a los propietarios del proyecto de IAM y a los Contactos esenciales técnicos.
Publicar en Cloud Monitoring
Envía los resultados de la inspección a Cloud Monitoring en Google Cloud Observability.
Hacer una copia desidentificada
Desidentifica los resultados de los datos inspeccionados y escribe el contenido desidentificado en un archivo nuevo. Luego, puedes usar la copia desidentificada en tus procesos de la empresa, en lugar de los datos que contienen información sensible. Para obtener más información, consulta Crea una copia desidentificada de los datos de Cloud Storage con la protección de datos sensibles en la consola de Google Cloud.
Operaciones admitidas
En la siguiente tabla, se muestran las operaciones de Protección de datos sensibles y dónde está disponible cada acción.
| Acción | Inspección de BigQuery | Inspección de Cloud Storage | Inspección de Datastore | Inspección híbrida | Análisis de riesgos | Descubrimiento (creación de perfiles de datos) |
|---|---|---|---|---|---|---|
| Publicar en Google Security Operations | ✓ | |||||
| Guarda los resultados en BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
| Publicar en Dataplex (Data Catalog) | ✓ | ✓ | ||||
| Notificar por correo electrónico | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Publicar en Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
| Desidentificar resultados | ✓ |
Especifica acciones
Puedes especificar una o más acciones cuando configuras una Protección de datos sensibles:
- Cuando creas un nuevo trabajo de inspección o análisis de riesgos con Sensitive Data Protection en la consola de Google Cloud, especifica acciones en la sección Agregar acciones del flujo de trabajo de creación de trabajos.
- Cuando configuras una solicitud de trabajo nueva para enviar a la API de DLP, especifica las acciones en el objeto
Action.
Para obtener más información y un código de muestra en varios lenguajes, consulta los siguientes vínculos:
- Crea y programa trabajos de inspección
- Calcula el k-anonimato de un conjunto de datos
- Calcula la l-diversidad de un conjunto de datos
Ejemplo de situación de acción
Puedes usar las acciones de Sensitive Data Protection para automatizar los procesos basados en los resultados del análisis de Sensitive Data Protection. Supongamos que tienes una tabla de BigQuery compartida con un socio externo. Deseas asegurarte de que ambas tablas no contengan identificadores sensibles, como los números de identificación personal de EE.UU. (el infoType US_SOCIAL_SECURITY_NUMBER), y que, si encuentras alguno, se revoca el acceso al socio. A continuación, se muestra un esquema simple de un flujo de trabajo que usaría acciones:
- Crea un activador de trabajo de Protección de datos sensibles para ejecutar un análisis de inspección de la tabla de BigQuery cada 24 horas.
- Configura la acción de estos trabajos para publicar una notificación de Pub/Sub al tema “projects/foo/scan_notifications”.
- Crea un Cloud Function que escuche los mensajes entrantes en “projects/foo/scan_notifications”. Esta función de Cloud Functions recibirá el nombre del trabajo de Protección de datos sensibles cada 24 horas, llamará a Protección de datos sensibles para obtener resultados resumidos de este trabajo y, si encuentra números de identificación personal, puede cambiar la configuración en BigQuery o la administración de identidades y accesos (IAM) para restringir el acceso a la tabla.
¿Qué sigue?
- Obtén más información sobre las acciones disponibles con los trabajos de inspección.
- Obtén más información sobre las acciones disponibles con los trabajos de análisis de riesgos.