Crear perfiles de datos de BigQuery en una organización o carpeta

En esta página se describe cómo configurar la detección de datos de BigQuery a nivel de organización o carpeta. Si quieres crear un perfil de un proyecto, consulta Crear perfiles de datos de BigQuery en un solo proyecto.

Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.

Para empezar a crear perfiles de datos, debe crear una configuración de análisis.

Antes de empezar

  1. Confirma que tienes los permisos de gestión de identidades y accesos necesarios para configurar perfiles de datos a nivel de organización.

    Si no tienes el rol Administrador de la organización (roles/resourcemanager.organizationAdmin) o Administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Sin embargo, después de crear la configuración de análisis, alguien con uno de esos roles debe conceder acceso al perfil de datos a tu agente de servicio.

  2. Debe tener una plantilla de inspección en cada región en la que tenga datos que se vayan a perfilar. Si quieres usar una sola plantilla para varias regiones, puedes usar una plantilla almacenada en la región global. Si las políticas de la organización le impiden crear una plantilla de inspección en la región global, debe definir una plantilla de inspección específica para cada región. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.

    Esta tarea solo te permite crear una plantilla de inspección en la región global. Si necesitas plantillas de inspección específicas para una o varias regiones, debes crear esas plantillas antes de realizar esta tarea.

  3. Para enviar notificaciones de Pub/Sub a un tema cuando se produzcan determinados eventos (por ejemplo, cuando Protección de Datos Sensibles cree un perfil de una tabla), cree un tema de Pub/Sub antes de realizar esta tarea.

  4. Puedes configurar Protección de Datos Sensibles para que adjunte etiquetas automáticamente a tus recursos. Esta función te permite conceder acceso a esos recursos de forma condicional en función de sus niveles de sensibilidad calculados. Si quieres usar esta función, primero debes completar las tareas que se indican en el artículo Controlar el acceso de gestión de identidades y accesos a los recursos en función de la sensibilidad de los datos.

Para generar perfiles de datos, necesitas un contenedor de agente de servicio y un agente de servicio dentro de él. Esta tarea te permite crearlas automáticamente.

Crear una configuración del análisis

  1. Ve a la página Crear configuración del análisis.

    Crear una configuración del análisis

  2. Ve a tu organización. En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu organización.

En las siguientes secciones se ofrece más información sobre los pasos de la página Crear configuración de análisis. Al final de cada sección, haz clic en Continuar.

Selecciona un tipo de descubrimiento

Selecciona BigQuery.

Seleccionar ámbito

Elige una de estas opciones:

  • Para configurar la creación de perfiles a nivel de organización, selecciona Analizar toda la organización.
  • Para configurar la creación de perfiles a nivel de carpeta, selecciona Analizar carpeta seleccionada. Haz clic en Examinar y selecciona la carpeta.

Gestionar horarios

Si la frecuencia de creación de perfiles predeterminada se ajusta a tus necesidades, puedes saltarte esta sección de la página Crear configuración del análisis.

Configura esta sección por los siguientes motivos:

  • Para hacer ajustes precisos en la frecuencia de creación de perfiles de todos sus datos o de determinados subconjuntos de datos.
  • Para especificar las tablas de las que no quieres crear un perfil.
  • Para especificar las tablas de las que no quieres crear un perfil más de una vez.

Para hacer ajustes precisos en la frecuencia de creación de perfiles, sigue estos pasos:

  1. Haz clic en Añadir programación.

  2. En la sección Filtros, define uno o varios filtros que especifiquen qué tablas se incluyen en el ámbito de la programación. Se considera que una tabla está en el ámbito de la programación si coincide con al menos uno de los filtros definidos.

    Para configurar un filtro, especifica al menos uno de los siguientes elementos:

    • Un ID de proyecto o una expresión regular que especifique uno o varios proyectos
    • Un ID de conjunto de datos o una expresión regular que especifique uno o varios conjuntos de datos
    • Un ID de tabla o una expresión regular que especifique una o varias tablas

    Las expresiones regulares deben seguir la sintaxis de RE2.

    Por ejemplo, si quiere que se incluyan todas las tablas de un proyecto en el filtro, especifique el ID de ese proyecto y deje los otros dos campos en blanco.

    Para que una tabla coincida con un filtro, debe cumplir todas las expresiones regulares especificadas en ese filtro.

    Si quieres añadir más filtros, haz clic en Añadir filtro y repite este paso.

  3. Haz clic en Frecuencia.

  4. En la sección Frecuencia, especifique si Protección de datos sensibles debe crear perfiles de las tablas que haya definido en sus filtros y, si es así, con qué frecuencia:

    • Si no quieres que se cree un perfil de las tablas, desactiva Crear perfil de las tablas.

    • Si quieres que las tablas se analicen al menos una vez, deja activada la opción Analizar las tablas.

      En los campos siguientes de esta sección, especifica si el sistema debe volver a crear el perfil de tus datos y qué eventos deben activar una operación de creación de perfil. Para obtener más información, consulta Frecuencia de generación de perfiles de datos.

      1. En Cuando cambie el esquema, especifica con qué frecuencia debe comprobar Protección de Datos Sensibles si las tablas seleccionadas han sufrido cambios en el esquema después de la última vez que se crearon perfiles. Solo se volverán a elaborar perfiles de las tablas con cambios de esquema.
      2. En Tipos de cambio de esquema, especifique qué tipos de cambios de esquema deben activar una operación de creación de perfil. Selecciona una de las opciones siguientes:
        • Nuevas columnas: vuelve a crear los perfiles de las tablas que han añadido columnas.
        • Columnas eliminadas: vuelva a crear los perfiles de las tablas que tenían columnas eliminadas.

        Por ejemplo, supongamos que tiene tablas que obtienen nuevas columnas cada día y necesita crear un perfil de su contenido cada vez. Puede definir Cuando cambie el esquema como Volver a crear el perfil diariamente y Tipos de cambios en el esquema como Nuevas columnas.

      3. En Cuando cambie la tabla, especifica con qué frecuencia debe comprobar Protección de Datos Sensibles si las tablas seleccionadas han sufrido algún cambio desde la última vez que se crearon sus perfiles. Solo se volverán a elaborar perfiles de las tablas que hayan cambiado. Algunos ejemplos de cambios en las tablas son la eliminación de filas y los cambios en el esquema.

        Debes seleccionar un valor que sea igual o menos frecuente que el valor que hayas definido en el campo Cuando cambie el esquema.

      4. En When inspect template changes (Cuando cambie la plantilla de inspección), especifica si quieres que se vuelva a crear el perfil de tus datos cuando se actualice la plantilla de inspección asociada y, si es así, con qué frecuencia.

        Se detecta un cambio en una plantilla de inspección cuando ocurre alguna de las siguientes situaciones:

        • El nombre de una plantilla de inspección cambia en la configuración de análisis.
        • Cambia el updateTime de una plantilla de inspección.

        5. Por ejemplo, si define una plantilla de inspección para la región us-west1 y la actualiza, solo se volverán a crear los perfiles de los datos de la región us-west1.

  5. Haz clic en Condiciones.

  6. En la sección Condiciones, especifica las condiciones que deben cumplir las tablas definidas en tus filtros antes de que Protección de Datos Sensibles cree perfiles de ellas. Si define condiciones mínimas y la condición de tiempo, Protección de Datos Sensibles solo crea perfiles de las tablas que cumplan ambos tipos de condiciones.

    • Condiciones mínimas: estas condiciones son útiles si quieres retrasar la creación de perfiles de una tabla hasta que tenga suficientes filas o hasta que alcance una determinada antigüedad. Activa las condiciones que quieras aplicar y especifica el número mínimo de filas o la duración.
    • Condición de tiempo: esta condición es útil si no quieres que se cree un perfil de las tablas antiguas. Activa la condición de hora y elige una fecha y una hora. No se creará ningún perfil de las tablas creadas en esa fecha o antes.

    Ejemplos de condiciones

    Supongamos que tiene la siguiente configuración:

    • Condiciones mínimas

      • Número mínimo de filas: 10 filas
      • Duración mínima: 24 horas

    • Condición de hora

      • Marca de tiempo: 4/5/22, 23:59

    En este caso, Protección de Datos Sensibles excluye las tablas creadas el 4 de mayo del 2022 a las 23:59 (UTC) o antes. De las tablas creadas después de esta fecha y hora, Protección de Datos Sensibles solo crea perfiles de las tablas que tienen 10 filas o que tienen al menos 24 horas.

  7. En la sección Tablas para crear perfil, seleccione una de las siguientes opciones, en función de los tipos de tablas de los que quiera crear un perfil:

    • Crear perfil de todas las tablas: selecciona esta opción si quieres que Protección de Datos Sensibles cree un perfil de todos los tipos de tablas que coincidan con tus filtros y condiciones.

      En el caso de los tipos de tablas no admitidos, Protección de Datos Sensibles genera perfiles solo parcialmente rellenados. Estos perfiles muestran errores que indican que las tablas a las que pertenecen no son compatibles. Selecciona esta opción si quieres ver los perfiles parciales a pesar de los mensajes de error.

      Cuando Protección de Datos Sensibles añade compatibilidad con un nuevo tipo de tabla, vuelve a crear perfiles de las tablas de ese tipo por completo durante la siguiente ejecución programada.

    • Tablas admitidas por el perfil: seleccione esta opción si quiere que Protección de Datos Sensibles cree perfiles solo de las tablas admitidas que coincidan con sus filtros y condiciones. Las tablas no admitidas no tendrán perfiles parciales.

    • Tipos de tabla específicos del perfil: selecciona esta opción si quieres que Protección de Datos Sensibles cree un perfil solo de los tipos de tablas que elijas. En la lista que aparece, selecciona uno o varios tipos.

      Cuando Protección de Datos Sensibles añade compatibilidad con un nuevo tipo de tabla, no crea automáticamente perfiles de tablas de ese tipo. Para crear perfiles de los tipos de tabla que se admiten recientemente, debes editar la configuración del análisis y seleccionar esos tipos.

    Si no seleccionas ninguna opción, Protección de Datos Sensibles solo creará perfiles de tablas de BigQuery y mostrará errores en las tablas no admitidas.

    Los precios de la creación de perfiles de datos varían en función de los tipos de tablas de los que se creen perfiles. Para obtener más información, consulta los precios de la creación de perfiles de datos.

  8. Haz clic en Listo.

  9. Opcional: Para añadir más programaciones, haz clic en Añadir programación y repite los pasos anteriores.

  10. Para especificar la precedencia entre las programaciones, reordénalas con las flechas hacia arriba y hacia abajo.

    El orden de las programaciones especifica cómo se resuelven los conflictos entre ellas. Si una tabla coincide con los filtros de dos programaciones diferentes, la programación que esté más arriba en la lista de programaciones determinará la frecuencia de creación de perfiles de esa tabla.

  11. Opcional: Edita o desactiva la programación general.

    La última programación de la lista es la programación general. Esta programación abarca las tablas del ámbito seleccionado que no coinciden con ninguna de las programaciones que has creado. La programación general sigue la frecuencia de elaboración de perfiles predeterminada del sistema.

    • Para ajustar la programación general, haz clic en Editar programación y, a continuación, ajusta la configuración según sea necesario.
    • Para evitar que Protección de Datos Sensibles cree perfiles de los recursos que estén cubiertos por la programación general, desactiva Crea perfiles de los recursos que no coincidan con ninguna programación personalizada.

Seleccionar plantilla de inspección

En función de cómo quieras proporcionar una configuración de inspección, elige una de las siguientes opciones. Independientemente de la opción que elijas, Protección de Datos Sensibles analizará tus datos en la región en la que estén almacenados. Es decir, tus datos no salen de su región de origen.

Opción 1: Crear una plantilla de inspección

Elige esta opción si quieres crear una plantilla de inspección en la región global.

  1. Haz clic en Crear plantilla de inspección.

  2. Opcional: Para modificar la selección predeterminada de infoTypes, haz clic en Gestionar infoTypes.

    Para obtener más información sobre cómo gestionar los infoTypes integrados y personalizados, consulta el artículo Gestionar infoTypes a través de la consola Google Cloud .

    Para continuar, debes seleccionar al menos un infoType.

  3. Opcional: Configura la plantilla de inspección añadiendo conjuntos de reglas y definiendo un umbral de confianza. Para obtener más información, consulta Configurar la detección.

Cuando Protección de Datos Sensibles crea la configuración del análisis, almacena esta nueva plantilla de inspección en la región global.

Opción 2: Usar una plantilla de inspección ya creada

Elige esta opción si tienes plantillas de inspección que quieras usar.

  1. Haz clic en Seleccionar plantilla de inspección.
  2. Introduce el nombre de recurso completo de la plantilla de inspección que quieras usar. El campo Region (Región) se rellena automáticamente con el nombre de la región en la que se almacena la plantilla de inspección.

    La plantilla de inspección que introduzcas debe estar en la misma región que los datos que se van a perfilar.

    Para respetar la residencia de los datos, Protección de Datos Sensibles no usa una plantilla de inspección fuera de la región en la que se almacena.

    Para encontrar el nombre de recurso completo de una plantilla de inspección, siga estos pasos:

    1. Ve a la lista de plantillas de inspección. Esta página se abre en otra pestaña.

      Ir a plantillas de inspección

    2. Cambia al proyecto que contenga la plantilla de inspección que quieras usar.
    3. En la pestaña Plantillas, haz clic en el ID de la plantilla que quieras usar.
    4. En la página que se abre, copie el nombre completo del recurso de la plantilla. El nombre completo del recurso sigue este formato: 
      projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
    5. En la página Crear configuración de análisis, en el campo Nombre de la plantilla, pega el nombre de recurso completo de la plantilla.
  3. Para añadir una plantilla de inspección de otra región, haga clic en Añadir plantilla de inspección e introduzca el nombre de recurso completo de la plantilla. Repita este proceso con cada región en la que tenga una plantilla de inspección específica.
  4. Opcional: Añade una plantilla de inspección almacenada en la región global. Protección de Datos Sensibles usa automáticamente esa plantilla para los datos de las regiones en las que no tienes una plantilla de inspección específica.

Añadir acciones

En esta sección se describe cómo especificar las acciones que quiere que realice Protección de Datos Sensibles después de crear un perfil de una tabla. Estas acciones son útiles si quieres enviar estadísticas obtenidas a partir de perfiles de datos a otros servicios deGoogle Cloud .

Publicar en Google Security Operations

Las métricas recogidas de los perfiles de datos pueden añadir contexto a tus resultados de Google Security Operations. El contexto adicional puede ayudarte a determinar los problemas de seguridad más importantes que debes solucionar.

Por ejemplo, si estás investigando un agente de servicio concreto, Google Security Operations puede determinar a qué recursos ha accedido el agente de servicio y si alguno de esos recursos contiene datos de alta sensibilidad.

Para enviar tus perfiles de datos a tu instancia de Google Security Operations, activa Publicar en Google Security Operations.

Si no tienes habilitada una instancia de Google Security Operations en tu organización (ya sea a través del producto independiente o de Security Command Center Enterprise), activar esta opción no tendrá ningún efecto.

Publicar en Security Command Center

Los resultados de los perfiles de datos proporcionan contexto cuando clasificas y desarrollas planes de respuesta para tus resultados de vulnerabilidades y amenazas en Security Command Center.

Para poder usar esta acción, Security Command Center debe activarse a nivel de organización. Si activas Security Command Center a nivel de organización, se habilitará el flujo de resultados de servicios integrados, como Protección de Datos Sensibles. Protección de Datos Sensibles es compatible con Security Command Center en todos los niveles de servicio.

Si Security Command Center no está activado a nivel de organización, los resultados de Protección de Datos Sensibles no aparecerán en Security Command Center. Para obtener más información, consulta Comprobar el nivel de activación de Security Command Center.

Para enviar los resultados de tus perfiles de datos a Security Command Center, asegúrate de que la opción Publicar en Security Command Center esté activada.

Para obtener más información, consulta el artículo Publicar perfiles de datos en Security Command Center.

Guardar copias de perfiles de datos en BigQuery

Protección de Datos Sensibles guarda una copia de cada perfil de datos generado en una tabla de BigQuery. Si no proporcionas los detalles de la tabla que prefieres, Protección de Datos Sensibles crea un conjunto de datos y una tabla en el contenedor del agente de servicio. De forma predeterminada, el conjunto de datos se llama sensitive_data_protection_discovery y la tabla, discovery_profiles.

De esta forma, podrás mantener un historial de todos los perfiles que hayas generado. Este historial puede ser útil para crear informes de auditoría y visualizar perfiles de datos. También puedes cargar esta información en otros sistemas.

Además, esta opción te permite ver todos tus perfiles de datos en una sola vista, independientemente de la región en la que se encuentren. Aunque también puedes ver los perfiles de datos en laGoogle Cloud consola, esta solo muestra los perfiles de una región a la vez.

Cuando Protección de Datos Sensibles no puede crear un perfil de una tabla, lo intenta de nuevo periódicamente. Para minimizar el ruido en los datos exportados, Protección de Datos Sensibles solo exporta a BigQuery los perfiles que se hayan generado correctamente.

Protección de Datos Sensibles empieza a exportar perfiles desde el momento en que activas esta opción. Los perfiles que se hayan generado antes de activar la exportación no se guardarán en BigQuery.

Para ver consultas de ejemplo que puedes usar al analizar perfiles de datos, consulta Analizar perfiles de datos.

Guardar resultados de descubrimiento de muestras en BigQuery

Protección de Datos Sensibles puede añadir resultados de muestra a una tabla de BigQuery que elijas. Los resultados de muestra representan un subconjunto de todos los resultados y es posible que no representen todos los infoTypes que se han descubierto. Normalmente, el sistema genera unas 10 detecciones de muestra por tabla, pero este número puede variar en cada ejecución de detección.

Cada resultado incluye la cadena real (también llamada cita) que se ha detectado y su ubicación exacta.

Esta acción es útil si quieres evaluar si tu configuración de inspección coincide correctamente con el tipo de información que quieres marcar como sensible. Con los perfiles de datos exportados y los resultados de muestra exportados, puede ejecutar consultas para obtener más información sobre los elementos específicos que se han marcado, los infoTypes que coinciden, sus ubicaciones exactas, sus niveles de sensibilidad calculados y otros detalles.

Para este ejemplo, deben estar habilitadas las opciones Guardar copias de perfiles de datos en BigQuery y Guardar resultados de descubrimiento de muestras en BigQuery.

La siguiente consulta usa una operación INNER JOIN en la tabla de perfiles de datos exportados y en la tabla de resultados de muestras exportados. En la tabla resultante, cada registro muestra la cita del hallazgo, el infoType que ha coincidido, el recurso que contiene el hallazgo y el nivel de sensibilidad calculado del recurso. 

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

Para guardar resultados de ejemplo en una tabla de BigQuery, sigue estos pasos:

  1. Activa Guardar resultados de descubrimiento de muestras en BigQuery.

  2. Introduce los detalles de la tabla de BigQuery en la que quieras guardar los resultados de muestra.

    La tabla que especifiques para esta acción debe ser diferente de la tabla que se use para la acción Guardar copias de perfiles de datos en BigQuery.

    • En ID del proyecto, introduce el ID de un proyecto en el que quieras exportar los resultados.

    • En ID del conjunto de datos, introduce el nombre de un conjunto de datos del proyecto.

    • En ID de tabla, introduce el nombre de la tabla de BigQuery en la que quieras guardar los resultados. Si esta tabla no existe, Protección de Datos Sensibles la crea automáticamente con el nombre que proporciones.

Para obtener información sobre el contenido de cada resultado que se guarda en la tabla de BigQuery, consulta DataProfileFinding.

Adjuntar etiquetas a recursos

Si activas la opción Asignar etiquetas a los recursos, Protección de Datos Sensibles etiquetará automáticamente tus datos según el nivel de sensibilidad calculado. En esta sección, primero debes completar las tareas de Controlar el acceso de gestión de identidades y accesos a los recursos en función de la confidencialidad de los datos.

Para etiquetar automáticamente un recurso según su nivel de sensibilidad calculado, sigue estos pasos:

  1. Activa la opción Etiquetar recursos.

  2. En cada nivel de sensibilidad (alto, moderado, bajo y desconocido), introduzca la ruta del valor de la etiqueta que haya creado para ese nivel.

    Si omite un nivel de sensibilidad, no se adjuntará ninguna etiqueta.

  3. Para reducir automáticamente el nivel de riesgo de datos de un recurso cuando se incluya la etiqueta de nivel de sensibilidad, selecciona Cuando se aplique una etiqueta a un recurso, reduce el riesgo de datos de su perfil a BAJO. Esta opción te ayuda a medir la mejora de la seguridad y la privacidad de tus datos.

  4. Selecciona una o ambas de las siguientes opciones:

    • Etiqueta un recurso cuando se cree un perfil de él por primera vez.

    • Etiqueta un recurso cuando se actualice su perfil. Seleccione esta opción si quiere que Protección de Datos Sensibles sobrescriba el valor de la etiqueta de nivel de sensibilidad en las ejecuciones de descubrimiento posteriores. Por lo tanto, el acceso de un principal a un recurso cambia automáticamente a medida que aumenta o disminuye el nivel de sensibilidad de los datos calculado para ese recurso.

      No selecciones esta opción si tienes previsto actualizar manualmente los valores de las etiquetas de nivel de sensibilidad que el servicio de detección ha asociado a tus recursos. Si selecciona esta opción, Protección de Datos Sensibles puede sobrescribir sus actualizaciones manuales.

Publicar en Pub/Sub

Si activas Publicar en Pub/Sub, podrás realizar acciones mediante programación en función de los resultados de la creación de perfiles. Puedes usar las notificaciones de Pub/Sub para desarrollar un flujo de trabajo que te permita detectar y corregir las vulnerabilidades con un riesgo o una sensibilidad de datos significativos.

Para enviar notificaciones a un tema de Pub/Sub, sigue estos pasos:

  1. Activa Publicar en Pub/Sub.

    Aparecerá una lista de opciones. Cada opción describe un evento que provoca que Protección de Datos Sensibles envíe una notificación a Pub/Sub.

  2. Selecciona los eventos que deben activar una notificación de Pub/Sub.

    Si selecciona Enviar una notificación de Pub/Sub cada vez que se actualice un perfil, Protección de Datos Sensibles enviará una notificación cuando haya un cambio en el nivel de sensibilidad, el nivel de riesgo de los datos, los infoTypes detectados, el acceso público y otras métricas importantes del perfil.

  3. Sigue estos pasos con cada evento que selecciones:

    1. Escribe el nombre del tema. El nombre debe tener el siguiente formato:

      projects/PROJECT_ID/topics/TOPIC_ID

      Haz los cambios siguientes:

      • PROJECT_ID: el ID del proyecto asociado al tema de Pub/Sub.
      • TOPIC_ID: el ID del tema de Pub/Sub.

    2. Especifica si quieres incluir el perfil completo de la tabla en la notificación o solo el nombre de recurso completo de la tabla de la que se ha creado el perfil.

    3. Define los niveles mínimos de riesgo de datos y de sensibilidad que se deben cumplir para que Protección de Datos Sensibles envíe una notificación.

    4. Especifica si se debe cumplir solo una o ambas condiciones de riesgo y sensibilidad de los datos. Por ejemplo, si eliges AND, se deben cumplir tanto las condiciones de riesgo de los datos como las de sensibilidad para que Protección de Datos Sensibles envíe una notificación.

Enviar a Data Catalog en formato de etiqueta

Esta función está obsoleta.

Esta acción te permite crear etiquetas de Data Catalog en Dataplex Universal Catalog a partir de las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles que no se actualicen no se enviarán a Dataplex Universal Catalog.

Data Catalog es un servicio de gestión de metadatos escalable y totalmente gestionado. Cuando habilitas esta acción, las tablas que perfilas se etiquetan automáticamente en Data Catalog según las estadísticas obtenidas de los perfiles de datos. Después, puedes usar Dataplex Universal Catalog para buscar en tu organización y en tus proyectos tablas con valores de etiqueta específicos.

Para enviar los perfiles de datos a Dataplex Universal Catalog como etiquetas de Data Catalog, asegúrate de que la opción Enviar a Dataplex en formato de etiqueta esté activada.

Para obtener más información, consulta Etiquetar tablas en Data Catalog en función de las estadísticas de los perfiles de datos.

Enviar a Dataplex Universal Catalog como aspectos

Esta acción te permite añadir aspectos de Dataplex Universal Catalog a las tablas perfiladas en función de las estadísticas de los perfiles de datos. Esta acción solo se aplica a los perfiles nuevos y actualizados. Los perfiles que no se actualicen no se enviarán a Dataplex Universal Catalog.

Cuando habilitas esta acción, Protección de Datos Sensibles asigna el aspecto Sensitive Data Protection profile a la entrada de Universal Catalog de Dataplex de cada tabla nueva o actualizada que perfilas. Los aspectos generados contienen estadísticas obtenidas de los perfiles de datos. Después, puedes buscar en tu organización y en tus proyectos entradas con valores de Sensitive Data Protection profile específicos.

Para enviar los perfiles de datos a Dataplex Universal Catalog, asegúrate de que la opción Enviar al catálogo de Dataplex como aspectos esté activada.

Para obtener más información, consulta Añadir aspectos de Dataplex Universal Catalog basados en estadísticas de perfiles de datos.

Gestionar el contenedor y la facturación del agente de servicio

En esta sección, especifica el proyecto que se va a usar como contenedor de agente de servicio. Puedes hacer que Protección de Datos Sensibles cree automáticamente un proyecto o elegir uno que ya tengas.

Tanto si usas un agente de servicio recién creado como si reutilizas uno que ya tengas, asegúrate de que tenga acceso de lectura a los datos que se van a perfilar.

Crear un proyecto automáticamente

Si no tienes los permisos necesarios para crear un proyecto en la organización, debes seleccionar un proyecto que ya tengas u obtener los permisos necesarios. Para obtener información sobre los permisos necesarios, consulta el artículo Roles necesarios para trabajar con perfiles de datos a nivel de organización o carpeta.

Para crear automáticamente un proyecto que se usará como contenedor de tu agente de servicio, sigue estos pasos:

  1. En el campo Contenedor de agentes de servicio, revisa el ID de proyecto sugerido y edítalo si es necesario.
  2. Haz clic en Crear.
  3. Opcional: Actualiza el nombre predeterminado del proyecto.

  4. Selecciona la cuenta que se usará para facturar todas las operaciones facturables relacionadas con este nuevo proyecto, incluidas las que no estén relacionadas con el descubrimiento.

  5. Haz clic en Crear.

Protección de Datos Sensibles crea el proyecto. El agente de servicio de este proyecto se usará para autenticar la API Sensitive Data Protection y otras APIs.

Seleccionar proyecto

Para seleccionar un proyecto como contenedor del agente de servicio, haz clic en el campo Contenedor del agente de servicio y selecciona el proyecto.

Establecer la ubicación para almacenar la configuración

Haz clic en la lista Ubicación del recurso y selecciona la región en la que quieras almacenar esta configuración de análisis. Todas las configuraciones de análisis que crees más adelante también se almacenarán en esta ubicación.

El lugar donde elijas almacenar la configuración del análisis no afectará a los datos que se van a analizar. Tus datos se analizan en la misma región en la que se almacenan. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.

Revisa y crea

  1. Si quieres asegurarte de que la creación de perfiles no se inicie automáticamente después de crear la configuración de análisis, selecciona Crear análisis en modo de pausa.

    Esta opción es útil en los siguientes casos:

    • Tu administrador debe conceder acceso a los perfiles de datos al agente de servicio. Google Cloud
    • Quieres crear varias configuraciones de análisis y que algunas anulen a otras.
    • Has decidido guardar los perfiles de datos en BigQuery y quieres asegurarte de que el agente de servicio tenga acceso de escritura a la tabla de BigQuery en la que se guardarán las copias de los perfiles de datos.
    • Has decidido guardar los resultados de descubrimiento de muestra en BigQuery y quieres asegurarte de que el agente de servicio tenga acceso de escritura a la tabla de BigQuery en la que se guardarán los resultados de muestra.
    • Has configurado las notificaciones de Pub/Sub y quieres conceder acceso de publicación al agente de servicio.
    • Has habilitado la acción Asignar etiquetas a recursos y necesitas conceder acceso al agente de servicio a la etiqueta de nivel de sensibilidad.
  2. Revisa la configuración y haz clic en Crear.

    Protección de Datos Sensibles crea la configuración del análisis y la añade a la lista de configuraciones de análisis de descubrimiento.

Para ver o gestionar tus configuraciones de análisis, consulta Gestionar configuraciones de análisis.

Si tu agente de asistencia tiene los roles necesarios para acceder a tus datos y crear un perfil de ellos, Protección de Datos Sensibles empezará a analizarlos poco después de que crees la configuración de análisis o reanudes una configuración pausada. De lo contrario, Protección de Datos Sensibles mostrará un error cuando veas los detalles de la configuración del análisis.

Siguientes pasos