En esta página, se describe cómo usar Cloud Key Management Service (Cloud KMS) para crear una clave unida que puedes usar a fin de enviar solicitudes deidentify
y reidentify
a la API de Cloud Data Loss Prevention de la protección de datos sensibles.
El proceso de usar una clave criptográfica para desidentificar y reidentificar contenido se denomina seudonimización (o asignación de token). Para obtener información conceptual sobre este proceso, consulta Seudonimización.
Para ver un ejemplo completo, que demuestre cómo crear una clave unida, asignar un token al contenido y reidentificar el contenido con asignación de token, consulta la Guía de inicio rápido: Desidentifica y reidentifica texto sensible en su lugar.
Puedes completar los pasos en este tema en 5 a 10 minutos, sin incluir los pasos de Antes de comenzar.
Antes de comenzar
- Install the Google Cloud CLI.
-
Configure the gcloud CLI to use your federated identity.
For more information, see Browser-based sign-in with the gcloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Sensitive Data Protection and Cloud KMS APIs:
gcloud services enable dlp.googleapis.com
cloudkms.googleapis.com -
Grant roles to your user account. Run the following command once for each of the following IAM roles:
roles/dlp.user
gcloud projects add-iam-policy-binding PROJECT_ID --member="USER_IDENTIFIER" --role=ROLE
- Replace
PROJECT_ID
with your project ID. -
Replace
USER_IDENTIFIER
with the identifier for your user account. For examples, see Represent workforce pool users in IAM policies. - Replace
ROLE
with each individual role.
- Replace
Paso 1: Crea un llavero de claves y una clave
Antes de comenzar este procedimiento, decide dónde quieres que la protección de datos sensibles procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global
o en la misma región que usarás para las solicitudes de protección de datos sensibles.
De lo contrario, fallarán las solicitudes de protección de datos sensibles.
Puedes encontrar una lista de las ubicaciones admitidas en Ubicaciones de la protección de datos sensibles. Anota el nombre de la región que elegiste (por ejemplo, us-west1
).
En este procedimiento, se usa global
como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global
por el nombre de la región.
Crea un llavero de claves
gcloud kms keyrings create "dlp-keyring" \ --location "global"
Crea una clave:
gcloud kms keys create "dlp-key" \ --location "global" \ --keyring "dlp-keyring" \ --purpose "encryption"
Enumera el llavero de claves y la clave:
gcloud kms keys list \ --location "global" \ --keyring "dlp-keyring"
Obtendrás el siguiente resultado:
NAME PURPOSE ALGORITHM PROTECTION_LEVEL LABELS PRIMARY_ID PRIMARY_STATE projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key ENCRYPT_DECRYPT GOOGLE_SYMMETRIC_ENCRYPTION SOFTWARE 1 ENABLED
En este resultado,
PROJECT_ID
es el ID de tu proyecto.La ruta en
NAME
es el nombre completo del recurso de tu clave de Cloud KMS. Anota esto, puesto que las solicitudes de desidentificación y reidentificación lo requieren.
Paso 2: Crea una clave AES codificada en base64
En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.
Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza
openssl
para crear una clave de 256 bits en el directorio actual:openssl rand -out "./aes_key.bin" 32
El archivo
aes_key.bin
se agrega a tu directorio actual.Codifica la clave AES como una string de base64:
base64 -i ./aes_key.bin
Obtendrás un resultado similar al siguiente:
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
Paso 3: Une la clave AES con la clave de Cloud KMS
En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en el Paso 1 para unir la clave AES codificada en base64 que creaste en el Paso 2.
Para unir la clave AES, usa curl
a fin de enviar la siguiente solicitud a la API de Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
--request "POST" \
--header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
--header "content-type: application/json" \
--data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"
Reemplaza lo siguiente:
PROJECT_ID
: es el ID de tu proyecto.BASE64_ENCODED_AES_KEY
: la string codificada en base64 que se muestra en el Paso 2.
La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:
{ "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1", "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=", "ciphertextCrc32c": "901327763", "protectionLevel": "SOFTWARE" }
En este resultado, PROJECT_ID
es el ID de tu proyecto.
Anota el valor de ciphertext
en la respuesta que obtienes.
Esa es tu clave unida.
¿Qué sigue?
Obtén más información sobre la asignación de token a los datos mediante una clave criptográfica.
Trabaja con un ejemplo completo en el que se muestre cómo crear una clave unida, asignar un token al contenido y reidentificar el contenido con asignación de token.
Obtén más información sobre los métodos de desidentificación que aceptan esta clave unida y revisa las muestras de código.