Cloud Data Loss Prevention (Cloud DLP) ahora es parte de Sensitive Data Protection. El nombre de la API sigue siendo el mismo: API de Cloud Data Loss Prevention (API de DLP). Para obtener información sobre los servicios que conforman la protección de datos sensibles, consulta la descripción general de la protección de datos sensibles.

Se usó la API de Cloud Translation para traducir esta página.

Cómo perfilar datos de Amazon S3

En esta página, se describe cómo configurar el descubrimiento de Sensitive Data Protection para Amazon S3.

Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.

Esta función solo está disponible para los clientes que activaron Security Command Center en el nivel Enterprise.

Antes de comenzar

En Security Command Center, crea un conector para Amazon Web Services (AWS). No borra la casilla de verificación Otorgar permisos para el descubrimiento de Sensitive Data Protection. La Protección de datos sensibles necesita esos permisos para perfilar tus datos de Amazon S3.

Si ya tienes un conector que no tiene seleccionada la opción Otorgar permisos para el descubrimiento de Sensitive Data Protection, consulta Otorga permisos de descubrimiento de datos sensibles a un conector de AWS existente.
Confirma que tienes los permisos de IAM necesarios para configurar perfiles de datos a nivel de la organización.

Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o de administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Sin embargo, después de crear la configuración de análisis, alguien con cualquiera de esos roles debe otorgar acceso a la generación de perfiles de datos a tu agente de servicio.
Confirma que tienes una plantilla de inspección en la región global o en la región en la que planeas almacenar la configuración del análisis de descubrimiento y todos los perfiles de datos generados.

Esta tarea te permite crear automáticamente una plantilla de inspección solo en la región global. Si las políticas de la organización te impiden crear una plantilla de inspección en la región global, antes de realizar esta tarea, debes crear una plantilla de inspección en la región en la que planeas almacenar la configuración del análisis de descubrimiento.
Para enviar notificaciones de Pub/Sub a un tema cuando ocurran ciertos eventos, como cuando la Protección de datos sensibles genere el perfil de un bucket nuevo, crea un tema de Pub/Sub antes de realizar esta tarea.

Para generar perfiles de datos, necesitas un contenedor de agente de servicio y un agente de servicio dentro de él. Esta tarea te permite crearlos automáticamente.

Crear una configuración de análisis

Ve a la página Crear configuración de análisis.

Ir a Crear configuración de análisis
Ve a tu organización. En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu organización.

En las siguientes secciones, se proporciona más información sobre los pasos de la página Crear configuración de análisis. Al final de cada sección, haz clic en Continuar.

Selecciona un tipo de descubrimiento

Selecciona Amazon S3.

Selecciona el permiso

Realiza una de las siguientes acciones:

Para analizar todos los datos de S3 a los que tiene acceso tu conector de AWS, selecciona Scan all AWS accounts available through your connector.
Para analizar los datos de S3 en una sola cuenta de AWS, selecciona Scan selected account. Luego, ingresa el ID de la cuenta de AWS.
Para analizar un solo bucket de S3, selecciona Scan one bucket. Ingresa el ID de la cuenta de AWS que contiene el bucket y, luego, el nombre del bucket.

Administrar programas

Si la frecuencia de generación de perfiles predeterminada se ajusta a tus necesidades, puedes omitir esta sección de la página Crear configuración de análisis.

Configura esta sección por los siguientes motivos:

Para realizar ajustes detallados en la frecuencia de generación de perfiles de todos tus datos o de ciertos subconjuntos de tus datos.
Para especificar los buckets que no deseas perfilar.
Para especificar los buckets que no quieres que se perfilen más de una vez.

Para realizar ajustes detallados en la frecuencia de generación de perfiles, sigue estos pasos:

Haz clic en Agregar programa.

Nota: Si seleccionaste un solo bucket como el alcance de esta configuración, entonces no puedes agregar un programa. Solo puedes editar la programación predeterminada. Además, no puedes especificar filtros. Solo puedes editar la frecuencia y las condiciones para la generación de perfiles.
En la sección Filtros, define uno o más filtros que especifiquen cuáles son los buckets que se encuentran en el alcance de la programación.

Especifica al menos uno de los siguientes elementos:
- Un ID de cuenta o una expresión regular que especifique uno o más IDs de cuenta
- Un nombre de bucket o una expresión regular que especifique uno o más buckets
Las expresiones regulares deben seguir la sintaxis RE2.

Por ejemplo, si deseas que todos los buckets de una cuenta se incluyan en el filtro, ingresa el ID de cuenta en el campo ID de cuenta.

Para agregar más filtros, haz clic en Agregar filtro y repite este paso.
Haz clic en Frecuencia.
En la sección Frecuencia, especifica si deseas generar perfiles de los buckets que seleccionaste y, de ser así, con qué frecuencia:
- Si nunca quieres que se generen perfiles de los buckets, desactiva Crear perfiles de estos datos.
- Si deseas que se generen perfiles de los buckets al menos una vez, deja activada la opción Generar perfiles de estos datos.
  
  Especifica si deseas volver a crear perfiles de tus datos y qué eventos deben activar una operación de reelaboración de perfiles. Para obtener más información, consulta Frecuencia de generación de perfiles de datos.
  1. En Según un programa, especifica la frecuencia con la que deseas que se vuelvan a crear perfiles de los buckets. Se vuelve a perfilar los buckets, independientemente de si se realizaron cambios.
  2. En Cuando inspeccionas cambios en la plantilla, especifica si deseas que se vuelva a generar el perfil de tus datos cuando se actualice la plantilla de inspección asociada y, de ser así, con qué frecuencia.
    Nota: Especifica las plantillas de inspección que se deben usar en el paso Seleccionar plantilla de inspección en esta página.
    
    Se detecta un cambio en la plantilla de inspección cuando ocurre alguna de las siguientes situaciones:
    - El nombre de una plantilla de inspección cambia en la configuración de análisis.
    - Cambia el updateTime de una plantilla de inspección.
De manera opcional, haz clic en Condiciones.

En la sección Condiciones, especifica las condiciones que deben cumplir los buckets (definidos en tus filtros) antes de que Sensitive Data Protection genere su perfil.

Si es necesario, establece lo siguiente:
- Condiciones mínimas: Si quieres retrasar la generación de perfiles de un bucket hasta que alcance una edad determinada, activa esta opción. Luego, ingresa la duración mínima.
  
  Nota: Si seleccionaste un solo bucket como el alcance de esta configuración, no puedes establecer esta condición.
- Condiciones de la clase de almacenamiento de objetos: De forma predeterminada, la Protección de datos sensibles analiza todos los objetos de un bucket. Si quieres analizar solo los objetos que tienen atributos específicos, selecciónalos.
Condiciones de ejemplo

Supongamos que tienes la siguiente configuración:
- Condiciones mínimas
  - Duración mínima: 24 horas
- Condiciones de la clase de almacenamiento de objetos
  - Analiza los objetos con la clase de almacenamiento de objetos S3 Standard
  - Analiza los objetos con la clase de almacenamiento Glacier Instant Retrieval de S3
En este caso, Sensitive Data Protection solo considera los buckets que tienen al menos 24 horas de antigüedad. Dentro de esos buckets, la Protección de datos sensibles solo perfila los objetos que se encuentran en la clase de almacenamiento de recuperación instantánea de Amazon S3 Glacier o Amazon S3 estándar.
Haz clic en Listo.
Si deseas agregar más programas, haz clic en Agregar programación y repite los pasos anteriores.
Para especificar la prioridad entre los programas, reordena los programas con las flechas hacia arriba y hacia abajo .

El orden de las agendas especifica cómo se resuelven los conflictos entre ellas. Si un bucket coincide con los filtros de dos programas diferentes, el programa que está más arriba en la lista de programas determina la frecuencia de generación de perfiles de ese bucket.

Nota: Si tu modo de precios de descubrimiento es el modo de suscripción, la velocidad a la que Sensitive Data Protection genera perfiles de tus datos se ve afectada por la capacidad que compraste. Para determinar tu capacidad de generación de perfiles diaria, consulta Supervisa la utilización. Si tienes una capacidad aprovisionada de forma insuficiente, es posible que no se sigan las frecuencias de creación de perfiles que estableciste en tus programas. Si hay una lista de tareas pendientes de buckets para generar perfiles, el orden de programación no determina el orden en el que Sensitive Data Protection genera perfiles de los buckets en la lista de tareas pendientes. En cambio, todos los buckets dentro del alcance obtienen un espacio asignado de forma aleatoria en la cola.

El último programa de la lista siempre es el etiquetado como Programación predeterminada. Esta programación predeterminada abarca los buckets del alcance seleccionado que no coinciden con ninguna de las programaciones que creaste. Este programa predeterminado sigue la frecuencia de creación de perfiles predeterminada del sistema.
Si deseas ajustar la programación predeterminada, haz clic en Editar programación y ajusta la configuración según sea necesario.

Selecciona una plantilla de inspección

Según cómo quieras proporcionar una configuración de inspección, elige una de las siguientes opciones. Independientemente de la opción que elijas, la Protección de datos sensibles analiza tus datos en la región donde se almacenan. Es decir, tus datos no salen de su región de origen.

Opción 1: Crea una plantilla de inspección

Elige esta opción si deseas crear una plantilla de inspección nueva en la región global.

Haz clic en Crear una plantilla de inspección nueva.
Opcional: Para modificar la selección predeterminada de infotipos, haz clic en Administrar infotipos.

Para obtener más información sobre cómo administrar infotipos integrados y personalizados, consulta Administra infotipos a través de la consola de Google Cloud.

Debes seleccionar al menos un Infotipo para continuar.
Opcional: Agrega conjuntos de reglas y establece un umbral de confianza para configurar mejor la plantilla de inspección. Para obtener más información, consulta Configura la detección.

Cuando Sensitive Data Protection crea la configuración de análisis, almacena esta plantilla de inspección nueva en la región global.

Opción 2: Usa una plantilla de inspección existente

Elige esta opción si tienes plantillas de inspección existentes que quieres usar.

Haz clic en Seleccionar plantilla de inspección existente.
Ingresa el nombre completo del recurso de la plantilla de inspección que deseas usar. El campo Región se completa automáticamente con el nombre de la región en la que se almacena tu plantilla de inspección.
La plantilla de inspección que ingreses debe estar en la misma región en la que planeas almacenar esta configuración de análisis de descubrimiento y todos los perfiles de datos generados.

Para respetar la residencia de datos, Sensitive Data Protection no usa una plantilla de inspección fuera de la región en la que se almacena.

Para encontrar el nombre completo del recurso de una plantilla de inspección, sigue estos pasos:
1. Ve a la lista de plantillas de inspección. Esta página se abrirá en una pestaña nueva.
  
  Ir a las plantillas de inspección
2. Cambia al proyecto que contiene la plantilla de inspección que deseas usar.
3. En la pestaña Plantillas, haz clic en el ID de la plantilla que deseas usar.
4. En la página que se abre, copia el nombre completo de recurso de la plantilla. El nombre completo del recurso tiene el siguiente formato:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
5. En la página Crear configuración de análisis, en el campo Nombre de la plantilla, pega el nombre completo de recurso de la plantilla.

Agrega acciones

En las siguientes secciones, especificas las acciones que deseas que la Protección de datos sensibles realice después de generar los perfiles de datos.

Para obtener información sobre cómo otros servicios de Google Cloud pueden cobrarte por configurar acciones, consulta Precios para exportar perfiles de datos.

Publicar en Google Security Operations

Las métricas recopiladas de los perfiles de datos pueden agregar contexto a tus operaciones de seguridad. El contexto agregado puede ayudarte a determinar los problemas de seguridad más importantes que debes abordar.

Por ejemplo, si investigas un agente de servicio en particular, puedes determinar a qué recursos accedió y si alguno de ellos tenía datos de alta sensibilidad.

Para enviar tus perfiles de datos al componente Google Security Operations de Security Command Center Enterprise, activa Publicar en Chronicle.

Publicar en Security Command Center

Los resultados de los perfiles de datos proporcionan contexto cuando clasificas y desarrollas planes de respuesta para los resultados de vulnerabilidades y amenazas en Security Command Center.

Para enviar los resultados de tus perfiles de datos a Security Command Center, asegúrate de que la opción Publicar en Security Command Center esté activada.

Para obtener más información, consulta Cómo publicar perfiles de datos en Security Command Center.

Guardar copias de los perfiles de datos en BigQuery

Si activas Guardar copias de los perfiles de datos en BigQuery, podrás conservar una copia guardada o un historial de todos los perfiles generados. Esto puede ser útil para crear informes de auditoría y visualizar perfiles de datos. También puedes cargar esta información en otros sistemas.

Además, esta opción te permite ver todos tus perfiles de datos en una sola vista, independientemente de la región en la que se encuentren. Si desactivas esta opción, aún puedes ver los perfiles de datos en la consola de Google Cloud. Sin embargo, en la consola de Google Cloud, seleccionas una región a la vez y solo ves los perfiles de datos de esa región.

Para exportar copias de los perfiles de datos a una tabla de BigQuery, sigue estos pasos:

Activa Guardar copias de los perfiles de datos en BigQuery.
Ingresa los detalles de la tabla de BigQuery en la que deseas guardar los perfiles de datos:
- En ID del proyecto, ingresa el ID de un proyecto existente al que deseas que se exporten los perfiles de datos.
- En ID del conjunto de datos, ingresa el nombre de un conjunto de datos existente en el proyecto al que deseas exportar los perfiles de datos.
- En ID de tabla, ingresa un nombre para la tabla de BigQuery a la que se exportarán los perfiles de datos. Si no creaste esta tabla, Sensitive Data Protection la creará automáticamente con el nombre que proporciones.

Sensitive Data Protection comienza a exportar perfiles desde el momento en que activas esta opción. Los perfiles que se generaron antes de que activaras la exportación no se guardan en BigQuery.

Publicar en Pub/Sub

Si activas Publicar en Pub/Sub, podrás realizar acciones programáticas según los resultados de la generación de perfiles. Puedes usar las notificaciones de Pub/Sub para desarrollar un flujo de trabajo que detecte y corrija los resultados con un riesgo o una sensibilidad de datos significativos.

Para enviar notificaciones a un tema de Pub/Sub, sigue estos pasos:

Activa Publicar en Pub/Sub.

Aparecerá una lista de opciones. Cada opción describe un evento que hace que la Protección de datos sensibles envíe una notificación a Pub/Sub.
Selecciona los eventos que deben activar una notificación de Pub/Sub.

Si seleccionas Enviar una notificación de Pub/Sub cada vez que se actualiza un perfil, la Protección de datos sensibles envía una notificación cuando hay un cambio en el nivel de sensibilidad, el nivel de riesgo de los datos, los infoTypes detectados, el acceso público y otras métricas importantes en el perfil.
Para cada evento que selecciones, sigue estos pasos:
1. Ingresa el nombre del tema. El nombre debe tener el siguiente formato:
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  Reemplaza lo siguiente:
  - PROJECT_ID: El ID del proyecto asociado con el tema de Pub/Sub.
  - TOPIC_ID: Es el ID del tema de Pub/Sub.
2. Especifica si deseas incluir el perfil de bucket completo en la notificación o solo el nombre de recurso completo del bucket del que se creó el perfil.
3. Establece los niveles mínimos de sensibilidad y riesgo de datos que se deben cumplir para que Sensitive Data Protection envíe una notificación.
4. Especifica si se debe cumplir solo una o ambas condiciones de riesgo y sensibilidad de los datos. Por ejemplo, si eliges AND, se deben cumplir tanto el riesgo de datos como las condiciones de sensibilidad antes de que Sensitive Data Protection envíe una notificación.

Nota: Tu agente de servicio debe tener acceso de publicación en el tema de Pub/Sub. Un ejemplo de un rol que tiene acceso de publicación es el rol de publicador de Pub/Sub (roles/pubsub.publisher). Si aún no tienes un agente de servicio, la Protección de datos sensibles te permite crear uno más adelante en la página Crear configuración de análisis. Si hay problemas de configuración o permisos con el tema de Pub/Sub, la Protección de datos sensibles reintentará enviar la notificación de Pub/Sub durante un máximo de dos semanas. Después de dos semanas, se descarta la notificación.

Administra la facturación y el contenedor del agente de servicio

En esta sección, especificas el proyecto que se usará como contenedor de agente de servicio. Puedes hacer que la Protección de datos sensibles cree automáticamente un proyecto nuevo o elegir uno existente.

Independientemente de si usas un agente de servicio creado recientemente o reutilizas uno existente, asegúrate de que tenga acceso de lectura a los datos de los que se creará el perfil.

Cómo crear un proyecto automáticamente

Si no tienes los permisos necesarios para crear un proyecto en la organización, debes seleccionar un proyecto existente o obtener los permisos requeridos. Para obtener información sobre los permisos necesarios, consulta Roles necesarios para trabajar con perfiles de datos a nivel de la organización o la carpeta.

Para crear automáticamente un proyecto que se usará como contenedor de agente de servicio, sigue estos pasos:

En el campo Contenedor de agente de servicio, revisa el ID del proyecto sugerido y modifícalo según sea necesario.
Haz clic en Crear.
Opcional: Actualiza el nombre del proyecto predeterminado.
Selecciona la cuenta a la que se facturarán todas las operaciones facturables relacionadas con este proyecto nuevo, incluidas las operaciones que no están relacionadas con el descubrimiento.

Nota: Si ya tienes una suscripción de descubrimiento a nivel de la organización, esta cuenta de facturación sigue siendo necesaria para crear el proyecto. Sin embargo, para todas las operaciones de descubrimiento, se te factura a través del proyecto asociado con tu suscripción.
Haz clic en Crear.

Sensitive Data Protection crea el proyecto nuevo. El agente de servicio de este proyecto se usará para autenticarse en Sensitive Data Protection y otras APIs.

Seleccionar un proyecto existente

Para seleccionar un proyecto existente como contenedor de agente de servicio, haz clic en el campo Service agent container y selecciona el proyecto.

Establece la ubicación en la que se almacenará la configuración

Haz clic en la lista Ubicación del recurso y selecciona la región en la que deseas almacenar esta configuración de análisis. Todas las configuraciones de análisis que crees más adelante también se almacenarán en esta ubicación.

El lugar donde elijas almacenar la configuración de análisis no afecta los datos que se analizarán. Tus datos se analizan en la misma región en la que se almacenan. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.

Revisa y crea la configuración

Si quieres asegurarte de que la generación de perfiles no se inicie automáticamente después de que crees la configuración de análisis, selecciona Crear análisis en modo pausado.
Esta opción es útil en los siguientes casos:
- Tu administrador de Google Cloud aún debe otorgar acceso a la generación de perfiles de datos al agente de servicio.
- Quieres crear varias configuraciones de análisis y quieres que algunas reemplacen a otras.
- Decidiste guardar los perfiles de datos en BigQuery y quieres asegurarte de que el agente de servicio tenga acceso de escritura a tu tabla de resultados.
- Configuraste notificaciones de Pub/Sub y deseas otorgar acceso de publicación al agente de servicio.
Revisa tu configuración y haz clic en Crear.
Sensitive Data Protection crea la configuración de análisis y la agrega a la lista de configuraciones de análisis de descubrimiento.

Para ver o administrar las configuraciones de análisis, consulta Administra las configuraciones de análisis.

¿Qué sigue?

Si no tienes el rol de Administrador de la organización (roles/resourcemanager.organizationAdmin) o de Administrador de seguridad (roles/iam.securityAdmin), alguien con uno de esos roles debe otorgar acceso a la generación de perfiles de datos a tu agente de servicio.
Obtén más información para administrar perfiles de datos.
Obtén información para administrar las opciones de configuración de los análisis.
Obtén información para recibir y analizar los mensajes de Pub/Sub que publica el generador de perfiles de datos.
Obtén más información para solucionar problemas con los perfiles de datos.