En este documento se describen las acciones que puede llevar a cabo Protección de Datos Sensibles después de ejecutar un trabajo de inspección o un análisis de riesgos.
Una acción es una tarea que Protección de Datos Sensibles realiza después de completar un trabajo de inspección o un análisis de riesgos. Por ejemplo, puedes guardar resultados en una tabla de BigQuery, publicar una notificación en un tema de Pub/Sub o enviar un correo cuando una operación se complete correctamente o se detenga debido a un error.
Las operaciones de descubrimiento de datos sensibles tienen un conjunto de acciones diferente. Para obtener más información sobre las acciones de descubrimiento, consulta Habilitar las acciones de descubrimiento.
Acciones disponibles
Cuando ejecutas una tarea de Protección de Datos Sensibles, se guarda un resumen de sus resultados de forma predeterminada en Protección de Datos Sensibles. Puedes ver este resumen en la protección de datos sensibles de la Google Cloud consola. También puede obtener información de resumen en la API DLP mediante el método projects.dlpJobs.get.
En las siguientes secciones se describen las acciones disponibles para los trabajos de inspección y análisis de riesgos.
Guardar resultados en BigQuery
Guarda los resultados de la tarea de Protección de Datos Sensibles en una tabla de BigQuery. Antes de ver o analizar los resultados, comprueba que el trabajo se haya completado.
Cada vez que se ejecuta un análisis, Protección de Datos Sensibles guarda los resultados en la tabla de BigQuery que especifiques. Los hallazgos exportados contienen detalles sobre la ubicación de cada hallazgo y la probabilidad de coincidencia.
Si quieres que cada resultado incluya la cadena que coincida con el detector de infoType, habilita la opción Incluir comillas. Las citas pueden ser sensibles, por lo que Protección de Datos Sensibles no las incluye en los hallazgos de forma predeterminada.
Si no especificas un ID de tabla, BigQuery asignará un nombre predeterminado a la tabla nueva la primera vez que se ejecute el análisis. El nombre es similar a dlpgoogleapisDATE_1234567890, donde DATE representa la fecha en la que se realiza el análisis. Si especificas una tabla, Protección de Datos Sensibles añade los resultados del análisis a esa tabla.
Cuando se escriben datos en una tabla de BigQuery, la facturación y el uso de cuota se aplican al proyecto que contiene la tabla de destino.
Guardar resultados en Cloud Storage
Guarda los resultados de la tarea de protección de datos sensibles en un segmento o una carpeta de Cloud Storage que ya tengas. Antes de ver o analizar los resultados, comprueba que el trabajo se ha completado.
Si estás inspeccionando un segmento de Cloud Storage, el segmento que designes para las detecciones exportadas no debe ser el mismo que estés inspeccionando.
Cada vez que se ejecuta un análisis, Protección de Datos Sensibles guarda los resultados en la ubicación de Cloud Storage que especifiques. Los resultados exportados contienen detalles sobre la ubicación de cada resultado y la probabilidad de coincidencia.
Si quieres que cada resultado incluya la cadena que coincida con el detector de infoType, habilita la opción Incluir comillas. Las citas pueden ser sensibles, por lo que Protección de Datos Sensibles no las incluye en los hallazgos de forma predeterminada.
Los resultados se exportan en formato de texto Protobuf como un objeto SaveToGcsFindingsOutput. Para obtener información sobre cómo analizar las detecciones en este formato, consulta Analizar detecciones almacenadas como texto Protobuf.
Publicar en Pub/Sub
Publica una notificación que contenga el nombre del trabajo de Protección de Datos Sensibles como atributo en un canal de Pub/Sub. Puedes especificar uno o varios temas a los que enviar el mensaje de notificación. Asegúrate de que la cuenta de servicio de Protección de Datos Sensibles que ejecuta la tarea de análisis tenga acceso de publicación al tema.
Si hay problemas de configuración o de permisos con el tema de Pub/Sub, Protección de Datos Sensibles vuelve a intentar enviar la notificación de Pub/Sub durante un máximo de dos semanas. Al cabo de dos semanas, la notificación se descarta.
Publicar en Security Command Center
Publica un resumen de los resultados del trabajo en Security Command Center. Para obtener más información, consulta el artículo Enviar los resultados de análisis de Protección de Datos Sensibles a Security Command Center.
Para usar esta acción, tu proyecto debe pertenecer a una organización y Security Command Center debe estar activado a nivel de organización. De lo contrario, los resultados de Protección de Datos Sensibles no aparecerán en Security Command Center. Para obtener más información, consulta Comprobar el nivel de activación de Security Command Center.
Publicar en Data Catalog
Enviar los resultados de los trabajos a Data Catalog. Esta función está obsoleta.
Notificar por correo electrónico
Enviar un correo cuando se complete el trabajo. El correo se envía a los propietarios del proyecto de gestión de identidades y accesos y a los contactos esenciales técnicos.
Publicar en Cloud Monitoring
Envía los resultados de la inspección a Cloud Monitoring en Google Cloud Observability.
Hacer una copia anonimizada
Desidentifica los resultados de la inspección de los datos y escribe el contenido desidentificado en un archivo nuevo. Después, puede usar la copia anonimizada en sus procesos empresariales en lugar de los datos que contengan información sensible. Para obtener más información, consulta el artículo sobre cómo crear una copia desidentificada de los datos de Cloud Storage con Protección de Datos Sensibles en la consola deGoogle Cloud .
Operaciones admitidas
En la siguiente tabla se muestran las operaciones de protección de datos sensibles y dónde está disponible cada acción.
| Acción | Inspección de BigQuery | Inspección de Cloud Storage | Inspección de Datastore | Inspección híbrida | Análisis de riesgos |
|---|---|---|---|---|---|
| Guardar resultados en BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| Guardar resultados en Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| Publicar en Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Security Command Center | ✓ | ✓ | ✓ | ||
| Publicar en Data Catalog (obsoleto) | ✓ | ||||
| Notificar por correo electrónico | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| Desidentificar resultados | ✓ |
Especificar acciones
Puedes especificar una o varias acciones al configurar una tarea:
- Cuando crees una inspección o un análisis de riesgos con Protección de Datos Sensibles en la Google Cloud consola, especifica las acciones en la sección Añadir acciones del flujo de trabajo de creación de la tarea.
- Cuando configures una nueva solicitud de tarea para enviarla a la API DLP, especifica las acciones en el objeto
Action.
Para obtener más información y código de muestra en varios idiomas, consulta los siguientes recursos:
- Crear y programar tareas de inspección
- Calcular k-anonymity de un conjunto de datos
- Calcular l-diversity de un conjunto de datos
Ejemplo de situación de acción
Puedes usar las acciones de Protección de Datos Sensibles para automatizar procesos basados en los resultados de los análisis de Protección de Datos Sensibles. Supongamos que tienes una tabla de BigQuery compartida con un partner externo. Quieres asegurarte de que esta tabla no contenga ningún identificador sensible, como números de la seguridad social de EE. UU. (el infoTypeUS_SOCIAL_SECURITY_NUMBER), y de que, si encuentras alguno, se revoque el acceso al partner. Aquí tienes un esquema general de un flujo de trabajo que usaría acciones:
- Crea un activador de tareas de Protección de Datos Sensibles para que se ejecute un análisis de inspección de la tabla de BigQuery cada 24 horas.
- Define la acción de estos trabajos para publicar una notificación de Pub/Sub en el tema "projects/foo/scan_notifications".
- Crea una función de Cloud que detecte los mensajes entrantes en "projects/foo/scan_notifications". Esta función de Cloud recibirá el nombre del trabajo de Protección de Datos Sensibles cada 24 horas, llamará a Protección de Datos Sensibles para obtener los resultados del resumen de este trabajo y, si encuentra algún número de la seguridad social, podrá cambiar la configuración de BigQuery o de Gestión de Identidades y Accesos (IAM) para restringir el acceso a la tabla.
Siguientes pasos
- Consulta las acciones disponibles con los trabajos de inspección.
- Consulta información sobre las acciones disponibles con los trabajos de análisis de riesgos.
- Consulta las acciones disponibles con las operaciones de descubrimiento de datos sensibles.