Cloud Data Loss Prevention (Cloud DLP) ahora forma parte de Protección de Datos Sensibles. El nombre de la API sigue siendo el mismo: API Cloud Data Loss Prevention (API DLP). Para obtener información sobre los servicios que componen Protección de Datos Sensibles, consulta el artículo Información general sobre Protección de Datos Sensibles.

Esta página se ha traducido con Cloud Translation API.

Desidentificar y reidentificar datos sensibles

En esta guía de inicio rápido se muestra cómo usar Protección de datos sensibles para desidentificar y reidentificar datos sensibles en contenido de texto. En este proceso, se te indica cómo usar Cloud Key Management Service para crear una clave encapsulada. Necesitas esta clave en tus solicitudes de anonimización y reidentificación.

El proceso descrito en esta guía de inicio rápido se denomina seudonimización (o tokenización). En este proceso, Protección de Datos Sensibles usa una clave criptográfica para convertir (desidentificar) el texto sensible en un token. Para restaurar (reidentificar) ese texto, necesitas la clave criptográfica que usaste durante la desidentificación y el token.

Protección de Datos Sensibles admite métodos criptográficos reversibles y no reversibles. Para volver a identificar el contenido, debes elegir un método reversible.

El método criptográfico que se describe aquí se denomina cifrado determinista con AES-SIV (estándar de cifrado avanzado en modo de vector de inicialización sintético). Te recomendamos este método entre todos los métodos criptográficos reversibles que admite Protección de Datos Sensibles, ya que proporciona el nivel de seguridad más alto.

Puedes completar los pasos de este tema en un plazo de entre 10 y 20 minutos, sin incluir los pasos de la sección Antes de empezar.

Antes de empezar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/dlp.user

gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

Replace the following:

PROJECT_ID: your project ID.
USER_IDENTIFIER: the identifier for your user account—for example, myemail@example.com.
ROLE: the IAM role that you grant to your user account.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/dlp.user

gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

Replace the following:

PROJECT_ID: your project ID.
USER_IDENTIFIER: the identifier for your user account—for example, myemail@example.com.
ROLE: the IAM role that you grant to your user account.

Paso 1: Crea un conjunto de claves y una clave

Antes de iniciar este procedimiento, decide dónde quieres que Protección de Datos Sensibles procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que vayas a usar para tus solicitudes de protección de datos sensibles. De lo contrario, las solicitudes de protección de datos sensibles fallarán.

Puedes consultar una lista de las ubicaciones admitidas en Ubicaciones de Protección de Datos Sensibles. Anota el nombre de la región que hayas elegido (por ejemplo, us-west1).

En este procedimiento se usa global como ubicación para todas las solicitudes de API. Si quieres usar otra región, sustituye global por el nombre de la región.

Crea un conjunto de claves:

gcloud kms keyrings create "dlp-keyring" \
    --location "global"

Para crear una clave, sigue estos pasos:

gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

Consulta tu conjunto de claves y tu clave:

gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

Obtendrás el siguiente resultado:

NAME                                                                                   PURPOSE          ALGORITHM                    PROTECTION_LEVEL  LABELS  PRIMARY_ID  PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key  ENCRYPT_DECRYPT  GOOGLE_SYMMETRIC_ENCRYPTION  SOFTWARE                  1           ENABLED

En este resultado, PROJECT_ID es el ID de tu proyecto.

La ruta de NAME es el nombre de recurso completo de tu clave de Cloud KMS. Anótalo, ya que es necesario para las solicitudes de anonimización y reidentificación.

Paso 2: Crea una clave AES codificada en base64

En esta sección se describe cómo crear una clave del estándar de cifrado avanzado (AES) y codificarla en formato base64.

Crea una clave AES de 128, 192 o 256 bits. El siguiente comando usa openssl para crear una clave de 256 bits en el directorio actual:
```
openssl rand -out "./aes_key.bin" 32
```
El archivo aes_key.bin se añade al directorio actual.
Codifica la clave AES como una cadena base64:
```
base64 -i ./aes_key.bin
```
Obtendrás un resultado similar al siguiente:
```
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
```
Advertencia: No utilices esta clave de ejemplo para proteger cargas de trabajo sensibles reales. Esta clave se proporciona únicamente a modo de ejemplo. Como se ha compartido aquí, no es seguro usar esta clave.

Paso 3: Encapsula la clave AES con la clave de Cloud KMS

En esta sección se describe cómo usar la clave de Cloud KMS que has creado en el paso 1 para envolver la clave AES codificada en base64 que has creado en el paso 2.

Para envolver la clave AES, usa curl para enviar la siguiente solicitud a la API de Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
  --request "POST" \
  --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
  --header "content-type: application/json" \
  --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Haz los cambios siguientes:

PROJECT_ID: el ID de tu proyecto.
BASE64_ENCODED_AES_KEY: la cadena codificada en base64 devuelta en el paso 2.

La respuesta que obtienes de Cloud KMS es similar al siguiente archivo JSON:

{
  "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Anota el valor de ciphertext en la respuesta que recibas. Esa es tu clave encapsulada.

Paso 4: Envía una solicitud de desidentificación a la API DLP

En esta sección se describe cómo desidentificar datos sensibles en contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

El nombre de recurso completo de la clave de Cloud KMS que has creado en el paso 1.
La clave encapsulada que has creado en el paso 3.

En esta sección, debe guardar la solicitud de muestra en un archivo JSON. Si usas Cloud Shell, puedes usar el editor de Cloud Shell para crear el archivo. Para iniciar el editor, haz clic en Abrir editor en la barra de herramientas de la ventana de Cloud Shell.

Para desidentificar datos sensibles en contenido de texto, sigue estos pasos:

Crea un archivo de solicitud JSON con el siguiente texto.

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "deidentifyConfig": {
    "infoTypeTransformations": {
      "transformations": [
        {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            }
          ],
          "primitiveTransformation": {
            "cryptoDeterministicConfig": {
              "cryptoKey": {
                "kmsWrapped": {
                  "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                  "wrappedKey": "WRAPPED_KEY"
                }
              },
              "surrogateInfoType": {
                "name": "EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig": {
    "infoTypes": [
      {
        "name": "EMAIL_ADDRESS"
      }
    ]
  }
}

Haz los cambios siguientes:

PROJECT_ID: el ID de tu proyecto.
WRAPPED_KEY: la clave encapsulada que has creado en el paso 3.

Asegúrate de que el valor resultante de cryptoKeyName forme el nombre de recurso completo de tu clave de Cloud KMS.

Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.deidentify. Una vez que hayas completado esta guía de inicio rápido, prueba a experimentar con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. También puedes usar el Explorador de APIs en la página de referencia de la API, en Probar esta API.

Guarda el archivo como deidentify-request.json.

Usa curl para hacer una solicitud projects.locations.content.deidentify:

curl -s \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" \
https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:deidentify \
-d @deidentify-request.json

Sustituye PROJECT_ID por el ID de tu proyecto.

Para transferir un nombre de archivo a curl, usa la opción -d (para datos) y escribe el signo @ antes del nombre del archivo. Este archivo debe estar en el mismo directorio en el que ejecutes el comando curl.

La respuesta que obtienes de Protección de Datos Sensibles es similar al siguiente JSON:

{
 "item": {
   "value": "My name is Alicia Abernathy, and my email address is EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q."
 },
 "overview": {
   "transformedBytes": "22",
   "transformationSummaries": [
     {
       "infoType": {
         "name": "EMAIL_ADDRESS"
       },
       "transformation": {
         "cryptoDeterministicConfig": {
           "cryptoKey": {
             "kmsWrapped": {
               "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
               "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
             }
           },
           "surrogateInfoType": {
             "name": "EMAIL_ADDRESS_TOKEN"
           }
         }
       },
       "results": [
         {
           "count": "1",
           "code": "SUCCESS"
         }
       ],
       "transformedBytes": "22"
     }
   ]
 }
}

En el campo item, la dirección de correo se sustituye por un token como EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q. Para volver a identificar este contenido, debe enviar todo el token en la solicitud de reidentificación.

Paso 5: Envía una solicitud de reidentificación a la API DLP

En esta sección se describe cómo volver a identificar datos tokenizados en contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

El nombre de recurso completo de la clave de Cloud KMS que has creado en el paso 1.
La clave encapsulada que has creado en el paso 3.
El token que has recibido en el paso 4.

Para volver a identificar el contenido tokenizado, sigue estos pasos:

Crea un archivo de solicitud JSON con el siguiente texto.

{
  "reidentifyConfig":{
    "infoTypeTransformations":{
      "transformations":[
        {
          "infoTypes":[
            {
              "name":"EMAIL_ADDRESS_TOKEN"
            }
          ],
          "primitiveTransformation":{
            "cryptoDeterministicConfig":{
              "cryptoKey":{
              "kmsWrapped": {
                "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                "wrappedKey": "WRAPPED_KEY"
              }
            },
              "surrogateInfoType":{
                "name":"EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig":{
    "customInfoTypes":[
      {
        "infoType":{
          "name":"EMAIL_ADDRESS_TOKEN"
        },
        "surrogateType":{

        }
      }
    ]
  },
  "item":{
    "value": "My name is Alicia Abernathy, and my email address is TOKEN."
  }
}

Haz los cambios siguientes:

PROJECT_ID: el ID de tu proyecto.
WRAPPED_KEY: la clave encapsulada que has creado en el paso 3.
TOKEN: el token que has recibido en el paso 4. Por ejemplo, EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q.

Asegúrate de que el valor resultante de cryptoKeyName forme el nombre de recurso completo de tu clave de Cloud KMS.

Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.reidentify. Una vez que hayas completado esta guía de inicio rápido, prueba a experimentar con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. También puedes usar el Explorador de APIs en la página de referencia de la API, en Probar esta API.

Guarda el archivo como reidentify-request.json.

Usa curl para hacer una solicitud projects.locations.content.reidentify:

curl -s \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" \
https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:reidentify \
-d @reidentify-request.json

Sustituye PROJECT_ID por el ID de tu proyecto.

La respuesta que obtienes de Protección de Datos Sensibles es similar al siguiente JSON:

{
 "item": {
   "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
 },
 "overview": {
   "transformedBytes": "70",
   "transformationSummaries": [
     {
       "infoType": {
         "name": "EMAIL_ADDRESS"
       },
       "transformation": {
         "cryptoDeterministicConfig": {
           "cryptoKey": {
             "kmsWrapped": {
               "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
               "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
             }
           },
           "surrogateInfoType": {
             "name": "EMAIL_ADDRESS_TOKEN"
           }
         }
       },
       "results": [
         {
           "count": "1",
           "code": "SUCCESS"
         }
       ],
       "transformedBytes": "70"
     }
   ]
 }
}

En el campo item, el token de dirección de correo se sustituye por la dirección de correo real del texto original.

Acabas de desidentificar y reidentificar datos sensibles en contenido de texto mediante cifrado determinista.

Limpieza

Para evitar que se apliquen cargos en tu Google Cloud cuenta por los recursos utilizados en esta página, elimina el Google Cloud proyecto con los recursos.

Eliminar la versión de clave

Si ya no quieres usar la clave que has creado en esta guía de inicio rápido, destruye su versión.

Lista las versiones disponibles de tu clave:

gcloud kms keys versions list \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Para eliminar una versión, ejecuta el siguiente comando:

gcloud kms keys versions destroy KEY_VERSION \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Sustituye KEY_VERSION por el número de la versión que se va a eliminar.

Eliminar el proyecto

Si has creado un proyecto para esta guía de inicio rápido, la forma más sencilla de evitar que se te cobren cargos adicionales es eliminarlo.

Precaución: Eliminar un proyecto tiene los siguientes efectos:

Se elimina todo el contenido del proyecto. Si has usado un proyecto que ya existía para las tareas de este documento, cuando lo elimines, también se eliminará cualquier otro trabajo que hayas realizado en él.
Se pierden los IDs de proyecto personalizados. Cuando creaste este proyecto, es posible que hayas creado un ID de proyecto personalizado que quieras usar en el futuro. Para conservar las URLs que usan el ID del proyecto, como una URL appspot.com, elimina los recursos seleccionados dentro del proyecto en lugar de eliminar todo el proyecto.

Si tienes previsto consultar varias arquitecturas, tutoriales o guías de inicio rápido, reutilizar los proyectos puede ayudarte a no superar los límites de cuota de proyectos.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Revocar tus credenciales

Optional: Revoke credentials from the gcloud CLI.

gcloud auth revoke

Siguientes pasos

Para obtener información más detallada sobre cómo desidentificar contenido sensible, consulta Desidentificar datos sensibles.
Para obtener información sobre cómo se adapta un flujo de trabajo de desidentificación a las implementaciones reales, consulta Desidentificación y reidentificación de IPI en conjuntos de datos a gran escala con Protección de Datos Sensibles.
Para obtener información conceptual sobre la tokenización de datos mediante una clave criptográfica, consulta Seudonimización.