Crear perfiles de datos de Vertex AI en una organización o carpeta

En esta página se describe cómo configurar el descubrimiento de datos de Vertex AI a nivel de organización o carpeta. Si quieres crear un perfil de un proyecto, consulta Crear un perfil de datos de Vertex AI en un solo proyecto.

Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.

Antes de empezar

1. Confirma que tienes los permisos de gestión de identidades y accesos necesarios para configurar perfiles de datos a nivel de organización.

   Si no tienes el rol Administrador de la organización (roles/resourcemanager.organizationAdmin) o Administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Sin embargo, después de crear la configuración de análisis, alguien con uno de esos roles debe conceder acceso al perfil de datos a tu agente de servicio.

2. Debe tener una plantilla de inspección en cada región en la que tenga datos que se vayan a perfilar. Si quieres usar una sola plantilla para varias regiones, puedes usar una plantilla almacenada en la región global. Si las políticas de la organización le impiden crear una plantilla de inspección en la región global, debe definir una plantilla de inspección específica para cada región. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.

   Esta tarea solo te permite crear una plantilla de inspección en la región global. Si necesitas plantillas de inspección específicas para una o varias regiones, debes crear esas plantillas antes de realizar esta tarea.

3. Para enviar notificaciones de Pub/Sub a un tema cuando se produzcan determinados eventos (por ejemplo, cuando Protección de Datos Sensibles cree un perfil de un nuevo conjunto de datos), crea un tema de Pub/Sub antes de realizar esta tarea.

Para generar perfiles de datos, necesitas un contenedor de agente de servicio y un agente de servicio dentro de él. Esta tarea te permite crearlas automáticamente.

Crear una configuración del análisis

1. Ve a la página Crear configuración del análisis.

   Crear una configuración del análisis

2. Ve a tu organización. En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu organización.

En las siguientes secciones se ofrece más información sobre los pasos de la página Crear configuración de análisis. Al final de cada sección, haz clic en Continuar.

Selecciona un tipo de descubrimiento

Selecciona Vertex AI.

Seleccionar ámbito

Elige una de estas opciones:

• Para configurar la creación de perfiles a nivel de organización, selecciona Analizar toda la organización.
• Para configurar la creación de perfiles a nivel de carpeta, selecciona Analizar carpeta seleccionada. Haz clic en Examinar y selecciona la carpeta.

Gestionar horarios

Si la frecuencia de creación de perfiles predeterminada se ajusta a tus necesidades, puedes saltarte esta sección de la página Crear configuración del análisis.

Configura esta sección por los siguientes motivos:

• Para hacer ajustes precisos en la frecuencia de creación de perfiles de todos sus datos o de determinados subconjuntos de datos.
• Para especificar los conjuntos de datos de los que no quieras crear un perfil.
• Para especificar los conjuntos de datos de los que no quieres crear perfiles más de una vez.

Para hacer ajustes precisos en la frecuencia de creación de perfiles, sigue estos pasos:

1. Haz clic en Añadir programación.

2. En la sección Filtros, define uno o varios filtros que especifiquen qué conjuntos de datos se incluyen en el ámbito de la programación. Se considera que un conjunto de datos está incluido en el ámbito de la programación si coincide con al menos uno de los filtros definidos.

   Para configurar un filtro, especifique un ID de proyecto o una expresión regular que especifique uno o varios proyectos.

   Las expresiones regulares deben seguir la sintaxis de RE2.

   Por ejemplo, si quiere que se incluyan todos los conjuntos de datos de un proyecto en el filtro, introduzca el ID del proyecto en el campo ID de proyecto.

   Si quieres añadir más filtros, haz clic en Añadir filtro y repite este paso.

3. Haz clic en Frecuencia.

4. En la sección Frecuencia, especifique si el servicio de descubrimiento debe crear perfiles de los conjuntos de datos que ha seleccionado y, si es así, con qué frecuencia:

   • Si no quieres que se creen perfiles de los conjuntos de datos, desactiva la opción Crear perfil de estos datos.

   • Si quieres que los conjuntos de datos se perfilen al menos una vez, deja activada la opción Perfil de estos datos.

     En los campos siguientes de esta sección, especifica si el sistema debe volver a crear el perfil de tus datos y qué eventos deben activar una operación de creación de perfil. Para obtener más información, consulta Frecuencia de generación de perfiles de datos.

     1. En Según una programación, especifica con qué frecuencia quieres que se vuelvan a crear los perfiles de los conjuntos de datos. Los conjuntos de datos se vuelven a perfilar independientemente de si han sufrido algún cambio.
     2. En When inspect template changes (Cuando cambie la plantilla de inspección), especifica si quieres que se vuelva a crear el perfil de tus datos cuando se actualice la plantilla de inspección asociada y, si es así, con qué frecuencia.

        Se detecta un cambio en una plantilla de inspección cuando ocurre alguna de las siguientes situaciones:

        • El nombre de una plantilla de inspección cambia en la configuración de análisis.
        • Cambia el updateTime de una plantilla de inspección.

     Por ejemplo, si define una plantilla de inspección para la región us-west1 y la actualiza, solo se volverán a crear los perfiles de los datos de la región us-west1.

5. Opcional: Haz clic en Condiciones.

   En la sección Condiciones, especifica las condiciones que deben cumplir los conjuntos de datos definidos en tus filtros antes de que Protección de Datos Sensibles los cree.

   Si es necesario, configura lo siguiente:

   • Condición mínima: si quieres retrasar la creación de perfiles de un conjunto de datos hasta que alcance una determinada antigüedad, activa esta opción. A continuación, introduce la duración mínima.

   • Condición de tiempo: si no quieres que se creen perfiles de conjuntos de datos antiguos, activa esta opción. A continuación, usa el selector de fecha para elegir una fecha y una hora. Los conjuntos de datos creados en la marca de tiempo seleccionada o antes no se incluyen en la creación de perfiles.

   Ejemplos de condiciones

   Supongamos que tiene la siguiente configuración:

   • Condiciones mínimas

     • Duración mínima: 24 horas

   • Condición de hora

     • Marca de tiempo: 4/5/22, 23:59

   En este caso, Protección de Datos Sensibles excluye cualquier conjunto de datos que se haya creado el 4 de mayo del 2022 a las 23:59 (GMT) o antes. De los conjuntos de datos que se crearon después de esa fecha y hora, Protección de Datos Sensibles solo crea perfiles de los conjuntos de datos que tienen al menos 24 horas.

6. Haz clic en Listo.

7. Opcional: Para añadir más programaciones, haz clic en Añadir programación y repite los pasos anteriores.

8. Para especificar la precedencia entre las programaciones, reordénalas con las flechas hacia arrow_upwardarribaarrow_downward y hacia arrow_downwardabajoarrow_upward.

   El orden de las programaciones especifica cómo se resuelven los conflictos entre ellas. Si un conjunto de datos coincide con los filtros de dos programaciones diferentes, la programación que esté más arriba en la lista de programaciones determinará la frecuencia de creación de perfiles de ese conjunto de datos.

9. Opcional: Edita o desactiva la programación general.

   La última programación de la lista es la programación general. Esta programación abarca los conjuntos de datos del ámbito seleccionado que no coinciden con ninguna de las programaciones que has creado. La programación general sigue la frecuencia de elaboración de perfiles predeterminada del sistema.

   • Para ajustar la programación general, haz clic en edit Editar programación y, a continuación, ajusta la configuración según sea necesario.
   • Para evitar que Protección de Datos Sensibles cree perfiles de los recursos que estén cubiertos por la programación general, desactiva Crea perfiles de los recursos que no coincidan con ninguna programación personalizada.

Seleccionar plantilla de inspección

En función de cómo quieras proporcionar una configuración de inspección, elige una de las siguientes opciones. Independientemente de la opción que elijas, Protección de Datos Sensibles analizará tus datos en la región en la que estén almacenados. Es decir, tus datos no salen de su región de origen.

Opción 1: Crear una plantilla de inspección

Elige esta opción si quieres crear una plantilla de inspección en la región global.

1. Haz clic en Crear plantilla de inspección.

2. Opcional: Para modificar la selección predeterminada de infoTypes, haz clic en Gestionar infoTypes.

   Para obtener más información sobre cómo gestionar los infoTypes integrados y personalizados, consulta el artículo Gestionar infoTypes a través de la consola Google Cloud .

   Para continuar, debes seleccionar al menos un infoType.

3. Opcional: Configura la plantilla de inspección añadiendo conjuntos de reglas y definiendo un umbral de confianza. Para obtener más información, consulta Configurar la detección.

Cuando Protección de Datos Sensibles crea la configuración del análisis, almacena esta nueva plantilla de inspección en la región global.

Opción 2: Usar una plantilla de inspección ya creada

Elige esta opción si tienes plantillas de inspección que quieras usar.

1. Haz clic en Seleccionar plantilla de inspección.
2. Introduce el nombre de recurso completo de la plantilla de inspección que quieras usar. El campo Region (Región) se rellena automáticamente con el nombre de la región en la que se almacena la plantilla de inspección.

   La plantilla de inspección que introduzcas debe estar en la misma región que los datos que se van a perfilar.

   Para respetar la residencia de los datos, Protección de Datos Sensibles no usa una plantilla de inspección fuera de la región en la que se almacena.

   Para encontrar el nombre de recurso completo de una plantilla de inspección, siga estos pasos:

   1. Ve a la lista de plantillas de inspección. Esta página se abre en otra pestaña.

      Ir a plantillas de inspección

   2. Cambia al proyecto que contenga la plantilla de inspección que quieras usar.
   3. En la pestaña Plantillas, haz clic en el ID de la plantilla que quieras usar.
   4. En la página que se abre, copie el nombre completo del recurso de la plantilla. El nombre completo del recurso sigue este formato:

      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

   5. En la página Crear configuración de análisis, en el campo Nombre de la plantilla, pega el nombre de recurso completo de la plantilla.
3. Para añadir una plantilla de inspección de otra región, haga clic en Añadir plantilla de inspección e introduzca el nombre de recurso completo de la plantilla. Repita este proceso con cada región en la que tenga una plantilla de inspección específica.
4. Opcional: Añade una plantilla de inspección almacenada en la región global. Protección de Datos Sensibles usa automáticamente esa plantilla para los datos de las regiones en las que no tienes una plantilla de inspección específica.

Añadir acciones

En esta sección se describe cómo especificar las acciones que quiere que realice Protección de Datos Sensibles después de crear un perfil de un conjunto de datos. Estas acciones son útiles si quieres enviar estadísticas obtenidas a partir de perfiles de datos a otros servicios deGoogle Cloud .

Publicar en Google Security Operations

Las métricas recogidas de los perfiles de datos pueden añadir contexto a tus resultados de Google Security Operations. El contexto adicional puede ayudarte a determinar los problemas de seguridad más importantes que debes solucionar.

Por ejemplo, si estás investigando un agente de servicio concreto, Google Security Operations puede determinar a qué recursos ha accedido el agente de servicio y si alguno de esos recursos contiene datos de alta sensibilidad.

Para enviar tus perfiles de datos a tu instancia de Google Security Operations, activa Publicar en Google Security Operations.

Si no tienes habilitada una instancia de Google Security Operations en tu organización (ya sea a través del producto independiente o de Security Command Center Enterprise), activar esta opción no tendrá ningún efecto.

Publicar en Security Command Center

Los resultados de los perfiles de datos proporcionan contexto cuando clasificas y desarrollas planes de respuesta para tus resultados de vulnerabilidades y amenazas en Security Command Center.

Para poder usar esta acción, Security Command Center debe activarse a nivel de organización. Si activas Security Command Center a nivel de organización, se habilitará el flujo de resultados de servicios integrados, como Protección de Datos Sensibles. Protección de Datos Sensibles es compatible con Security Command Center en todos los niveles de servicio.

Si Security Command Center no está activado a nivel de organización, los resultados de Protección de Datos Sensibles no aparecerán en Security Command Center. Para obtener más información, consulta Comprobar el nivel de activación de Security Command Center.

Para enviar los resultados de tus perfiles de datos a Security Command Center, asegúrate de que la opción Publicar en Security Command Center esté activada.

Para obtener más información, consulta el artículo Publicar perfiles de datos en Security Command Center.

Guardar copias de perfiles de datos en BigQuery

Protección de Datos Sensibles guarda una copia de cada perfil de datos generado en una tabla de BigQuery. Si no proporcionas los detalles de la tabla que prefieres, Protección de Datos Sensibles crea un conjunto de datos y una tabla en el contenedor del agente de servicio. De forma predeterminada, el conjunto de datos se llama sensitive_data_protection_discovery y la tabla, discovery_profiles.

De esta forma, podrás mantener un historial de todos los perfiles que hayas generado. Este historial puede ser útil para crear informes de auditoría y visualizar perfiles de datos. También puedes cargar esta información en otros sistemas.

Además, esta opción te permite ver todos tus perfiles de datos en una sola vista, independientemente de la región en la que se encuentren. Aunque también puedes ver los perfiles de datos en laGoogle Cloud consola, esta solo muestra los perfiles de una región a la vez.

Si Protección de Datos Sensibles no puede crear un perfil de un conjunto de datos, lo vuelve a intentar periódicamente. Para minimizar el ruido en los datos exportados, Protección de Datos Sensibles solo exporta a BigQuery los perfiles que se hayan generado correctamente.

Protección de Datos Sensibles empieza a exportar perfiles desde el momento en que activas esta opción. Los perfiles que se hayan generado antes de activar la exportación no se guardarán en BigQuery.

Para ver consultas de ejemplo que puedes usar al analizar perfiles de datos, consulta Analizar perfiles de datos.

Guardar resultados de descubrimiento de muestras en BigQuery

Protección de Datos Sensibles puede añadir resultados de muestra a una tabla de BigQuery que elijas. Los resultados de muestra representan un subconjunto de todos los resultados y es posible que no representen todos los infoTypes que se han descubierto. Normalmente, el sistema genera unas 10 detecciones de muestra por conjunto de datos, pero este número puede variar en cada ejecución de detección.

Cada resultado incluye la cadena real (también llamada cita) que se ha detectado y su ubicación exacta.

Esta acción es útil si quieres evaluar si tu configuración de inspección coincide correctamente con el tipo de información que quieres marcar como sensible. Con los perfiles de datos exportados y los resultados de muestra exportados, puede ejecutar consultas para obtener más información sobre los elementos específicos que se han marcado, los infoTypes que coinciden, sus ubicaciones exactas, sus niveles de sensibilidad calculados y otros detalles.

Para guardar resultados de ejemplo en una tabla de BigQuery, sigue estos pasos:

1. Activa Guardar resultados de descubrimiento de muestras en BigQuery.

2. Introduce los detalles de la tabla de BigQuery en la que quieras guardar los resultados de muestra.

   La tabla que especifiques para esta acción debe ser diferente de la tabla que se use para la acción Guardar copias de perfiles de datos en BigQuery.

   • En ID del proyecto, introduce el ID de un proyecto en el que quieras exportar los resultados.

   • En ID del conjunto de datos, introduce el nombre de un conjunto de datos del proyecto.

   • En ID de tabla, introduce el nombre de la tabla de BigQuery en la que quieras guardar los resultados. Si esta tabla no existe, Protección de Datos Sensibles la crea automáticamente con el nombre que proporciones.

Para obtener información sobre el contenido de cada resultado que se guarda en la tabla de BigQuery, consulta DataProfileFinding.

Publicar en Pub/Sub

Si activas Publicar en Pub/Sub, podrás realizar acciones mediante programación en función de los resultados de la creación de perfiles. Puedes usar las notificaciones de Pub/Sub para desarrollar un flujo de trabajo que te permita detectar y corregir las vulnerabilidades con un riesgo o una sensibilidad de datos significativos.

Para enviar notificaciones a un tema de Pub/Sub, sigue estos pasos:

1. Activa Publicar en Pub/Sub.

   Aparecerá una lista de opciones. Cada opción describe un evento que provoca que Protección de Datos Sensibles envíe una notificación a Pub/Sub.

2. Selecciona los eventos que deben activar una notificación de Pub/Sub.

   Si selecciona Enviar una notificación de Pub/Sub cada vez que se actualice un perfil, Protección de Datos Sensibles enviará una notificación cuando haya un cambio en el nivel de sensibilidad, el nivel de riesgo de los datos, los infoTypes detectados, el acceso público y otras métricas importantes del perfil.

3. Sigue estos pasos con cada evento que selecciones:

   1. Escribe el nombre del tema. El nombre debe tener el siguiente formato:

      projects/PROJECT_ID/topics/TOPIC_ID
      

      Haz los cambios siguientes:

      • PROJECT_ID: el ID del proyecto asociado al tema de Pub/Sub.
      • TOPIC_ID: el ID del tema de Pub/Sub.

   2. Especifica si quieres incluir el perfil completo del conjunto de datos en la notificación o solo el nombre completo del recurso del conjunto de datos que se ha perfilado.

   3. Define los niveles mínimos de riesgo de datos y de sensibilidad que se deben cumplir para que Protección de Datos Sensibles envíe una notificación.

   4. Especifica si se debe cumplir solo una o ambas condiciones de riesgo y sensibilidad de los datos. Por ejemplo, si eliges AND, se deben cumplir tanto las condiciones de riesgo de los datos como las de sensibilidad para que Protección de Datos Sensibles envíe una notificación.

Enviar a Dataplex Universal Catalog como aspectos

Esta acción te permite añadir aspectos de Dataplex Universal Catalog a conjuntos de datos con perfil en función de las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles que no se actualicen no se enviarán a Dataplex Universal Catalog.

Cuando habilitas esta acción, Protección de Datos Sensibles adjunta el aspecto Sensitive Data Protection profile a la entrada de Universal Catalog de Dataplex de cada conjunto de datos nuevo o actualizado que perfilas. Los aspectos generados contienen estadísticas obtenidas de los perfiles de datos. Después, puedes buscar en tu organización y en tus proyectos entradas con valores de Sensitive Data Protection profile específicos.

Para enviar los perfiles de datos a Dataplex Universal Catalog, asegúrate de que la opción Enviar al catálogo de Dataplex como aspectos esté activada.

Para obtener más información, consulta Añadir aspectos de Dataplex Universal Catalog basados en estadísticas de perfiles de datos.

Gestionar el contenedor y la facturación del agente de servicio

En esta sección, especifica el proyecto que se va a usar como contenedor de agente de servicio. Puedes hacer que Protección de Datos Sensibles cree automáticamente un proyecto o elegir uno que ya tengas.

Tanto si usas un agente de servicio recién creado como si reutilizas uno que ya tengas, asegúrate de que tenga acceso de lectura a los datos que se van a perfilar.

Crear un proyecto automáticamente

Si no tienes los permisos necesarios para crear un proyecto en la organización, debes seleccionar un proyecto que ya tengas u obtener los permisos necesarios. Para obtener información sobre los permisos necesarios, consulta el artículo Roles necesarios para trabajar con perfiles de datos a nivel de organización o carpeta.

Para crear automáticamente un proyecto que se usará como contenedor de tu agente de servicio, sigue estos pasos:

1. En el campo Contenedor de agentes de servicio, revisa el ID de proyecto sugerido y edítalo si es necesario.
2. Haz clic en Crear.
3. Opcional: Actualiza el nombre predeterminado del proyecto.

4. Selecciona la cuenta que se usará para facturar todas las operaciones facturables relacionadas con este nuevo proyecto, incluidas las que no estén relacionadas con el descubrimiento.

5. Haz clic en Crear.

Protección de Datos Sensibles crea el proyecto. El agente de servicio de este proyecto se usará para autenticar la API Sensitive Data Protection y otras APIs.

Seleccionar proyecto

Para seleccionar un proyecto como contenedor del agente de servicio, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.

Definir ubicaciones de procesamiento alternativas para imágenes

Por lo general, Protección de Datos Sensibles procesa sus datos en la ubicación en la que se almacenan. Sin embargo, las imágenes solo se pueden procesar en una multirregión o en la región global. Si defines una ubicación alternativa, Protección de Datos Sensibles la usará para procesar las imágenes que no estén en una multirregión o en la región global. Si te saltas esta sección, las imágenes no se procesarán.

Para definir ubicaciones alternativas para el procesamiento de imágenes, selecciona una o ambas de las siguientes opciones:

• Volver a la multirregión: si una imagen no se puede procesar en su ubicación original, se procesará en la multirregión que corresponda a la ubicación original de la imagen. Si la ubicación original de la imagen no tiene ninguna multirregión correspondiente, se omitirá la imagen.
• Volver a la opción global: si una imagen no se puede procesar en su ubicación original, se procesará en la región global.

Si seleccionas ambas opciones, Protección de Datos Sensibles elegirá qué ubicación usar como ubicación alternativa.

Establecer la ubicación para almacenar la configuración

Haz clic en la lista Ubicación del recurso y selecciona la región en la que quieras almacenar esta configuración de análisis. Todas las configuraciones de análisis que crees más adelante también se almacenarán en esta ubicación.

El lugar donde elijas almacenar la configuración del análisis no afectará a los datos que se van a analizar. Tus datos se analizan en la misma región en la que se almacenan. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.

Revisa y crea

1. Si quieres asegurarte de que la creación de perfiles no se inicie automáticamente después de crear la configuración de análisis, selecciona Crear análisis en modo de pausa.

   Esta opción es útil en los siguientes casos:

   • Tu administrador debe conceder acceso a los perfiles de datos al agente de servicio. Google Cloud
   • Quieres crear varias configuraciones de análisis y que algunas anulen a otras.
   • Has decidido guardar los perfiles de datos en BigQuery y quieres asegurarte de que el agente de servicio tenga acceso de escritura a la tabla de BigQuery en la que se guardarán las copias de los perfiles de datos.
   • Has decidido guardar los resultados de descubrimiento de muestra en BigQuery y quieres asegurarte de que el agente de servicio tenga acceso de escritura a la tabla de BigQuery en la que se guardarán los resultados de muestra.
   • Has configurado las notificaciones de Pub/Sub y quieres conceder acceso de publicación al agente de servicio.
2. Revisa la configuración y haz clic en Crear.

   Protección de Datos Sensibles crea la configuración del análisis y la añade a la lista de configuraciones de análisis de descubrimiento.

Para ver o gestionar tus configuraciones de análisis, consulta Gestionar configuraciones de análisis.

Siguientes pasos

• Si no tienes el rol Administrador de la organización (roles/resourcemanager.organizationAdmin) o Administrador de seguridad (roles/iam.securityAdmin), alguien con uno de esos roles debe conceder acceso a la creación de perfiles de datos a tu agente de servicio.
• Consulta cómo gestionar perfiles de datos.
• Consulta cómo gestionar configuraciones de análisis.
• Consulta cómo recibir y analizar mensajes de Pub/Sub publicados por el generador de perfiles de datos.
• Consulta cómo solucionar problemas con los perfiles de datos.
• Consulta los límites de creación de perfiles de datos.