Crie cópias anonimizadas de dados armazenados no Cloud Storage através da consola Google Cloud

Esta página descreve como inspecionar um diretório do Cloud Storage e criar cópias anonimizadas dos ficheiros suportados, usando a proteção de dados confidenciais na consola. Google Cloud

Esta operação ajuda a garantir que os ficheiros que usa nos processos da sua empresa não contêm dados confidenciais, como informações de identificação pessoal (PII). A Proteção de dados confidenciais pode inspecionar ficheiros num contentor do Cloud Storage para encontrar dados confidenciais e criar cópias anonimizadas desses ficheiros num contentor separado. Em seguida, pode usar as cópias anonimizadas nos seus processos empresariais.

Para mais informações sobre o que acontece quando desidentifica dados no armazenamento, consulte o artigo Desidentificação de dados confidenciais no armazenamento.

Antes de começar

Esta página pressupõe o seguinte:

Saiba mais sobre as limitações e os pontos a ter em consideração para esta operação.

A inspeção de armazenamento requer o seguinte âmbito do OAuth: https://www.googleapis.com/auth/cloud-platform. Para mais informações, consulte o artigo Autenticação na API DLP.

Funções de IAM necessárias

Se todos os recursos para esta operação estiverem no mesmo projeto, a função de agente do serviço da API DLP (roles/dlp.serviceAgent) no agente do serviço é suficiente. Com essa função, pode fazer o seguinte:

  • Crie a tarefa de inspeção
  • Ler os ficheiros no diretório de entrada
  • Escrever os ficheiros anonimizados no diretório de saída
  • Escreva os detalhes da transformação numa tabela do BigQuery

Os recursos relevantes incluem a tarefa de inspeção, os modelos de desidentificação, o contentor de entrada, o contentor de saída e a tabela de detalhes da transformação.

Se tiver de ter os recursos em projetos separados, certifique-se de que o agente de serviço do seu projeto também tem as seguintes funções:

  • A função de visualizador de objetos de armazenamento (roles/storage.objectViewer) no contentor de entrada ou no projeto que o contém.
  • A função de criador de objetos de armazenamento (roles/storage.objectCreator) no contentor de saída ou no projeto que o contém.
  • A função de editor de dados do BigQuery (roles/bigquery.dataEditor) na tabela de detalhes da transformação ou no projeto que a contém.

Para conceder uma função ao agente do serviço, consulte o artigo Conceda uma única função. Também pode controlar o acesso nos seguintes níveis:

Vista geral

Para criar cópias desidentificadas dos seus ficheiros do Cloud Storage, configure uma tarefa de inspeção que procure dados confidenciais de acordo com os critérios especificados. Em seguida, na tarefa de inspeção, ative a ação Criar uma cópia desidentificada. Pode definir modelos de desidentificação que determinam como a proteção de dados confidenciais tem de transformar as conclusões. Se não fornecer um modelo de desidentificação, a proteção de dados confidenciais transforma as conclusões conforme descrito no comportamento de desidentificação predefinido.

Se ativar a ação Criar uma cópia desidentificada, por predefinição, a proteção de dados confidenciais transforma todos os tipos de ficheiros suportados incluídos na análise. No entanto, pode configurar a tarefa para transformar apenas um subconjunto dos tipos de ficheiros suportados.

Opcional: crie modelos de desidentificação

Se quiser controlar a forma como as conclusões são transformadas, crie os seguintes modelos. Estes modelos fornecem instruções sobre a transformação de resultados em ficheiros estruturados, ficheiros não estruturados e imagens.

  • Modelo de desidentificação: um modelo de desidentificação predefinido a usar para ficheiros não estruturados, como ficheiros de texto de forma livre. Este tipo de modelo de anonimização não pode conter transformações de registos, que só são suportadas para conteúdo estruturado. Se este modelo não estiver presente, a Proteção de dados confidenciais usa o método de substituição de infoType para transformar ficheiros não estruturados.

  • Modelo de desidentificação estruturado: um modelo de desidentificação a usar para ficheiros estruturados, como ficheiros CSV. Este modelo de desidentificação pode conter transformações de registos. Se este modelo não estiver presente, a proteção de dados confidenciais usa o modelo de desidentificação predefinido que criou. Se também não estiver presente, a Proteção de dados confidenciais usa o método de substituição de infoType para transformar ficheiros estruturados.

  • Modelo de ocultação de imagens: um modelo de desidentificação a ser usado para imagens. Se este modelo não estiver presente, a proteção de dados confidenciais oculta todas as descobertas em imagens com uma caixa preta.

Saiba como criar um modelo de desidentificação.

Crie uma tarefa de inspeção que tenha uma ação de desidentificação

  1. Na Google Cloud consola, aceda à página Criar tarefa ou acionador de tarefas.

    Aceda a Criar trabalho ou acionador de trabalho

  2. Introduza as informações da tarefa de proteção de dados confidenciais e clique em Continuar para concluir cada passo.

As secções seguintes descrevem como preencher as secções relevantes da página.

Escolha os dados de entrada

Na secção Escolha os dados de entrada, faça o seguinte:

  1. Opcional: em Nome, introduza um identificador para a tarefa de inspeção.
  2. Para Localização do recurso, selecione Global ou a região onde quer armazenar a tarefa de inspeção.
  3. Em Localização, selecione Google Cloud Storage.
  4. Para URL, introduza o caminho para o diretório de entrada. O diretório de entrada contém os dados que quer analisar, por exemplo, gs://input-bucket/folder1/folder1a. Se quiser analisar o diretório de entrada recursivamente, adicione uma barra invertida no final do URL e, de seguida, selecione Analisar recursivamente.

  5. Na secção Amostragem, na lista Método de amostragem, selecione Sem amostragem.

    A amostragem não é suportada em tarefas e acionadores de tarefas configurados com a anulação da identificação.

Configure a deteção

Na secção Configurar deteção, escolha os tipos de dados confidenciais a inspecionar. Estes elementos são denominados infoTypes. Pode selecionar a partir da lista de infoTypes predefinidos ou selecionar um modelo, se existir. Para mais detalhes, consulte o artigo Configure a deteção.

Adicione ações

Na secção Adicionar ações, faça o seguinte:

  1. Ative a opção Criar uma cópia anónima.
  2. Opcional: para o modelo de desidentificação, introduza o nome completo do recurso do modelo de desidentificação predefinido se tiver criado um.
  3. Opcional: para o modelo de desidentificação estruturada, introduza o nome completo do recurso do modelo de desidentificação para ficheiros estruturados, se tiver criado um. Se não o fez, a proteção de dados confidenciais usa o modelo predefinido, se tiver criado um.
  4. Opcional: para o modelo de ocultação de imagens, introduza o nome completo do recurso do modelo de ocultação de imagens, se tiver criado um.

  5. Opcional: se quiser que a proteção de dados confidenciais armazene os detalhes da transformação numa tabela do BigQuery, selecione Exportar detalhes da transformação para o BigQuery e, de seguida, preencha o seguinte:

    • ID do projeto: o projeto que contém a tabela do BigQuery.
    • ID do conjunto de dados: o conjunto de dados que contém a tabela do BigQuery.
    • ID da tabela: a tabela onde a proteção de dados confidenciais tem de armazenar detalhes sobre cada transformação. A proteção de dados confidenciais cria esta tabela com o ID da tabela que fornecer. Se não fornecer um ID da tabela, o sistema cria automaticamente um.

    Esta tabela não armazena o conteúdo anonimizado real.

    Quando os dados são escritos numa tabela do BigQuery, a faturação e a utilização de quotas são aplicadas ao projeto que contém a tabela de destino.

  6. Para a localização de saída do Cloud Storage, introduza o URL do diretório do Cloud Storage onde quer armazenar os ficheiros anonimizados. Este diretório não pode estar no mesmo contentor do Cloud Storage que o diretório de entrada.

  7. Opcional: em Tipos de ficheiros, selecione os tipos de ficheiros que quer transformar.

Para mais informações sobre outras ações que pode adicionar, consulte o artigo Adicione ações.

Agendar

Na secção Agendamento, especifique se quer que esta tarefa seja uma tarefa recorrente:

  • Para executar a análise apenas uma vez, mantenha o campo definido como Nenhum.
  • Para agendar a execução periódica de análises, clique em Criar um acionador para executar a tarefa numa programação periódica.

Para mais informações, consulte o artigo Agendar.

Reveja

  1. Na secção Programação, reveja a configuração da tarefa e, se necessário, edite a tarefa.

  2. Clique em Criar.

Se optou por não agendar a tarefa, a proteção de dados confidenciais começa imediatamente a executá-la. Após a conclusão da tarefa, o sistema redireciona para a página Detalhes da tarefa, onde pode ver os resultados das operações de inspeção e anulação da identificação.

Se optou por exportar os detalhes da transformação para uma tabela do BigQuery, esta é preenchida. Contém uma linha para cada transformação feita pela proteção de dados confidenciais. Para cada transformação, os detalhes incluem uma descrição, um código de êxito ou de erro, quaisquer detalhes de erro, o número de bytes transformados, a localização do conteúdo transformado e o nome da tarefa de inspeção na qual a proteção de dados confidenciais fez a transformação. Esta tabela não contém o conteúdo desidentificado real.

Confirme que os ficheiros foram desidentificados

  1. Na página Detalhes da tarefa, clique no separador Configuração.
  2. Para ver os ficheiros anonimizados no diretório de saída, clique no link no campo Bucket de saída para dados do Cloud Storage anonimizados.

  3. Para ver a tabela do BigQuery que contém os detalhes da transformação, clique no link no campo Detalhes da transformação.

    Para obter informações sobre como consultar uma tabela do BigQuery, consulte o artigo Executar consultas interativas.

O que se segue?