En esta página, se describe cómo configurar el descubrimiento de datos de Vertex AI a nivel del proyecto. Si deseas generar perfiles de una organización o carpeta, consulta Cómo generar perfiles de datos de Vertex AI en una organización o carpeta.
Para unirte a esta Versión preliminar, envía un correo electrónico a cloud-dlp-feedback@google.com.
Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.
Antes de comenzar
Asegúrate de que la API de Cloud Data Loss Prevention esté habilitada en tu proyecto:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required API.
Confirma que tienes los permisos de IAM necesarios para configurar perfiles de datos a nivel del proyecto.
Debes tener una plantilla de inspección en cada región en la que tengas datos para el perfil. Si deseas usar una sola plantilla para varias regiones, puedes usar una plantilla que se almacene en la región
global. Si las políticas organizacionales te impiden crear una plantilla de inspección en la regiónglobal, entonces debes establecer una plantilla de inspección dedicada para cada región. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.Esta tarea te permite crear una plantilla de inspección solo en la región
global. Si necesitas plantillas de inspección específicas para una o más regiones, debes crearlas antes de realizar esta tarea.Puedes configurar la Protección de datos sensibles para que envíe notificaciones a Pub/Sub cuando ocurran ciertos eventos, como cuando la Protección de datos sensibles genere el perfil de un conjunto de datos nuevo. Si deseas usar esta función, primero debes crear un tema de Pub/Sub.
Crear una configuración de análisis
Ve a la página Crear configuración de análisis.
Ve a tu proyecto. En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu proyecto.
En las siguientes secciones, se proporciona más información sobre los pasos de la página Crear configuración de análisis. Al final de cada sección, haz clic en Continuar.
Selecciona un tipo de descubrimiento
Selecciona Vertex AI.
Selecciona el permiso
Realiza una de las siguientes acciones:Si quieres analizar un solo conjunto de datos, selecciona Analizar un conjunto de datos.
Para cada conjunto de datos, solo puedes tener una configuración de análisis de un solo recurso. Para obtener más información, consulta Cómo generar perfiles de un solo recurso de datos.
Completa los detalles del conjunto de datos que deseas perfilar.
Si deseas realizar perfiles estándar a nivel del proyecto, selecciona Analizar proyecto seleccionado.
Administrar programas
Si la frecuencia de generación de perfiles predeterminada se ajusta a tus necesidades, puedes omitir esta sección de la página Crear configuración de análisis.
Configura esta sección por los siguientes motivos:
- Para realizar ajustes detallados en la frecuencia de generación de perfiles de todos tus datos o de ciertos subconjuntos de tus datos.
- Para especificar los conjuntos de datos que no deseas perfilar.
- Para especificar los conjuntos de datos que no quieres que se perfilen más de una vez.
Para realizar ajustes detallados en la frecuencia de generación de perfiles, sigue estos pasos:
- Haz clic en Agregar programa.
En la sección Filtros, defines uno o más filtros que especifican cuáles conjuntos de datos están dentro del alcance de la programación.
Especifica un ID del proyecto o una expresión regular que especifique uno o más proyectos. Las expresiones regulares deben seguir la sintaxis de RE2.
Por ejemplo, si deseas que todos los conjuntos de datos de un proyecto se incluyan en el filtro, ingresa el ID del proyecto en el campo ID del proyecto.
Si deseas agregar más filtros, haz clic en Agregar filtro y repite este paso.
Haz clic en Frecuencia.
En la sección Frecuencia, especifica si el servicio de descubrimiento debe generar perfiles de los conjuntos de datos que seleccionaste y, de ser así, con qué frecuencia:
Si nunca quieres que se generen perfiles de los conjuntos de datos, desactiva Generar perfiles de estos datos.
Si deseas que se generen perfiles de los conjuntos de datos al menos una vez, deja activada la opción Generar perfiles de estos datos.
En los siguientes campos de esta sección, especificas si el sistema debe volver a crear un perfil de tus datos y qué eventos deben activar una operación de nueva creación de perfil. Para obtener más información, consulta Frecuencia de generación de perfiles de datos.
- En Según un programa, especifica la frecuencia con la que deseas que se vuelvan a crear perfiles de los conjuntos de datos. Los conjuntos de datos se vuelven a perfilar independientemente de si se realizaron cambios.
- En Cuando inspeccionas cambios en la plantilla, especifica si deseas que se vuelva a generar el perfil de tus datos cuando se actualice la plantilla de inspección asociada y, de ser así, con qué frecuencia.
Se detecta un cambio en la plantilla de inspección cuando ocurre alguna de las siguientes situaciones:
- El nombre de una plantilla de inspección cambia en la configuración de análisis.
- Cambia el
updateTimede una plantilla de inspección.
Por ejemplo, si configuras una plantilla de inspección para la región
us-west1y la actualizas, solo se volverá a generar el perfil de los datos de la regiónus-west1.
De manera opcional, haz clic en Condiciones.
En la sección Condiciones, especificas las condiciones que deben cumplir los conjuntos de datos (definidos en tus filtros) antes de que Sensitive Data Protection genere su perfil.
Si es necesario, establece lo siguiente:
Condición mínima: Si quieres retrasar la generación de perfiles de un conjunto de datos hasta que alcance una antigüedad determinada, activa esta opción. Luego, ingresa la duración mínima.
Condición de tiempo: Si no quieres que se generen perfiles de conjuntos de datos antiguos, activa esta opción. Luego, usa el selector de fecha para seleccionar una fecha y hora. Cualquier conjunto de datos creado en la marca de tiempo seleccionada o antes de ella se excluye de la generación de perfiles.
Condiciones de ejemplo
Supongamos que tienes la siguiente configuración:
Condiciones mínimas
- Duración mínima: 24 horas
Condición de hora
- Marca de tiempo: 4/5/22, 11:59 p.m.
En este caso, la Protección de datos sensibles excluye cualquier conjunto de datos que se haya creado el 4 de mayo de 2022 a las 11:59 p.m. o antes. Entre los conjuntos de datos que se crearon después de esa fecha y hora, Sensitive Data Protection solo genera perfiles de los conjuntos de datos que tienen al menos 24 horas de antigüedad.
Haz clic en Listo.
Si deseas agregar más programas, haz clic en Agregar programación y repite los pasos anteriores.
Para especificar la prioridad entre los programas, reordena los programas con las flechas hacia arriba y hacia abajo .
El orden de las agendas especifica cómo se resuelven los conflictos entre ellas. Si un conjunto de datos coincide con los filtros de dos programas diferentes, el programa que está más arriba en la lista de programas determina la frecuencia de generación de perfiles de ese conjunto de datos.
El último programa de la lista siempre es el que está etiquetado como Programación predeterminada. Esta programación predeterminada abarca los conjuntos de datos del alcance seleccionado que no coinciden con ninguno de los programas que creaste. Este programa predeterminado sigue la frecuencia de creación de perfiles predeterminada del sistema.
Si deseas ajustar la programación predeterminada, haz clic en Editar programación y ajusta la configuración según sea necesario.
Selecciona una plantilla de inspección
Según cómo quieras proporcionar una configuración de inspección, elige una de las siguientes opciones. Independientemente de la opción que elijas, la Protección de datos sensibles analiza tus datos en la región donde se almacenan. Es decir, tus datos no salen de su región de origen.
Opción 1: Crea una plantilla de inspección
Elige esta opción si deseas crear una plantilla de inspección nueva en la región global.
- Haz clic en Crear una plantilla de inspección nueva.
Opcional: Para modificar la selección predeterminada de infotipos, haz clic en Administrar infotipos.
Para obtener más información sobre cómo administrar infotipos integrados y personalizados, consulta Administra infotipos a través de la consola de Google Cloud.
Debes seleccionar al menos un Infotipo para continuar.
Opcional: Agrega conjuntos de reglas y establece un umbral de confianza para configurar mejor la plantilla de inspección. Para obtener más información, consulta Configura la detección.
Cuando Sensitive Data Protection crea la configuración de análisis, almacena esta
plantilla de inspección nueva en la región global.
Opción 2: Usa una plantilla de inspección existente
Elige esta opción si tienes plantillas de inspección existentes que quieres usar.
- Haz clic en Seleccionar plantilla de inspección existente.
- Ingresa el nombre completo del recurso de la plantilla de inspección que deseas usar.
El campo Región se completa automáticamente con el nombre de la región en la que se almacena tu plantilla de inspección.
La plantilla de inspección que ingreses debe estar en la misma región que los datos para el perfil.
Para respetar la residencia de datos, Sensitive Data Protection no usa una plantilla de inspección fuera de la región en la que se almacena.
Para encontrar el nombre completo del recurso de una plantilla de inspección, sigue estos pasos:
- Ve a la lista de plantillas de inspección. Esta página se abrirá en una pestaña nueva.
- Cambia al proyecto que contiene la plantilla de inspección que deseas usar.
- En la pestaña Plantillas, haz clic en el ID de la plantilla que deseas usar.
- En la página que se abre, copia el nombre completo de recurso de la plantilla. El nombre completo del recurso tiene el siguiente formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
- En la página Crear configuración de análisis, en el campo Nombre de la plantilla, pega el nombre completo de recurso de la plantilla.
- Ve a la lista de plantillas de inspección. Esta página se abrirá en una pestaña nueva.
- Para agregar una plantilla de inspección para otra región, haz clic en Agregar plantilla de inspección y, luego, ingresa el nombre completo del recurso de la plantilla. Repite este proceso para cada región en la que tengas una plantilla de inspección dedicada.
- Opcional: Agrega una plantilla de inspección que se almacene en la región
global. La Protección de datos sensibles usa automáticamente esa plantilla para los datos de las regiones en las que no tienes una plantilla de inspección específica.
Agrega acciones
En las siguientes secciones, especificas las acciones que deseas que la Protección de datos sensibles realice después de generar los perfiles de datos.
Para obtener información sobre cómo otros servicios de Google Cloud pueden cobrarte por configurar acciones, consulta Precios para exportar perfiles de datos.
Publicar en Security Command Center
Los resultados de los perfiles de datos proporcionan contexto cuando clasificas y desarrollas planes de respuesta para los resultados de vulnerabilidades y amenazas en Security Command Center.
Para poder usar esta acción, Security Command Center debe estar activado a nivel de la organización. Si activas Security Command Center a nivel de la organización, se habilita el flujo de resultados de los servicios integrados, como la Protección de datos sensibles. Sensitive Data Protection funciona con Security Command Center en todos los niveles de servicio.Si Security Command Center no está activado a nivel de la organización, los resultados de la Protección de datos sensibles no aparecerán en Security Command Center. Para obtener más información, consulta Verifica el nivel de activación de Security Command Center.
Para enviar los resultados de tus perfiles de datos a Security Command Center, asegúrate de que la opción Publicar en Security Command Center esté activada.
Para obtener más información, consulta Cómo publicar perfiles de datos en Security Command Center.
Guardar copias de los perfiles de datos en BigQuery
Si activas Guardar copias de los perfiles de datos en BigQuery, podrás conservar una copia guardada o un historial de todos los perfiles generados. Esto puede ser útil para crear informes de auditoría y visualizar perfiles de datos. También puedes cargar esta información en otros sistemas.
Además, esta opción te permite ver todos tus perfiles de datos en una sola vista, independientemente de la región en la que se encuentren. Si desactivas esta opción, aún puedes ver los perfiles de datos en la consola de Google Cloud. Sin embargo, en la consola de Google Cloud, seleccionas una región a la vez y solo ves los perfiles de datos de esa región.
Para exportar copias de los perfiles de datos a una tabla de BigQuery, sigue estos pasos:
Activa Guardar copias de los perfiles de datos en BigQuery.
Ingresa los detalles de la tabla de BigQuery en la que deseas guardar los perfiles de datos:
En ID del proyecto, ingresa el ID de un proyecto existente al que deseas que se exporten los perfiles de datos.
En ID del conjunto de datos, ingresa el nombre de un conjunto de datos existente en el proyecto al que deseas exportar los perfiles de datos.
En ID de tabla, ingresa un nombre para la tabla de BigQuery a la que se exportarán los perfiles de datos. Si no creaste esta tabla, Sensitive Data Protection la creará automáticamente con el nombre que proporciones.
Sensitive Data Protection comienza a exportar perfiles desde el momento en que activas esta opción. Los perfiles que se generaron antes de que activaras la exportación no se guardan en BigQuery.
Publicar en Pub/Sub
Si activas Publicar en Pub/Sub, podrás realizar acciones programáticas según los resultados de la generación de perfiles. Puedes usar las notificaciones de Pub/Sub para desarrollar un flujo de trabajo que detecte y corrija los resultados con un riesgo o una sensibilidad de datos significativos.
Para enviar notificaciones a un tema de Pub/Sub, sigue estos pasos:
Activa Publicar en Pub/Sub.
Aparecerá una lista de opciones. Cada opción describe un evento que hace que la Protección de datos sensibles envíe una notificación a Pub/Sub.
Selecciona los eventos que deben activar una notificación de Pub/Sub.
Si seleccionas Enviar una notificación de Pub/Sub cada vez que se actualiza un perfil, la Protección de datos sensibles envía una notificación cuando hay un cambio en el nivel de sensibilidad, el nivel de riesgo de los datos, los infoTypes detectados, el acceso público y otras métricas importantes en el perfil.
Para cada evento que selecciones, sigue estos pasos:
Ingresa el nombre del tema. El nombre debe tener el siguiente formato:
projects/PROJECT_ID/topics/TOPIC_IDReemplaza lo siguiente:
- PROJECT_ID: El ID del proyecto asociado con el tema de Pub/Sub.
- TOPIC_ID: Es el ID del tema de Pub/Sub.
Especifica si deseas incluir el perfil completo del conjunto de datos en la notificación o solo el nombre completo del recurso del conjunto de datos del que se creó el perfil.
Establece los niveles mínimos de sensibilidad y riesgo de datos que se deben cumplir para que Sensitive Data Protection envíe una notificación.
Especifica si se debe cumplir solo una o ambas condiciones de riesgo y sensibilidad de los datos. Por ejemplo, si eliges
AND, se deben cumplir tanto el riesgo de datos como las condiciones de sensibilidad antes de que Sensitive Data Protection envíe una notificación.
Establece la ubicación en la que se almacenará la configuración
Haz clic en la lista Ubicación del recurso y selecciona la región en la que deseas almacenar esta configuración de análisis. Todas las configuraciones de análisis que crees más adelante también se almacenarán en esta ubicación.
El lugar donde elijas almacenar la configuración de análisis no afecta los datos que se analizarán. Tus datos se analizan en la misma región en la que se almacenan. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.
Revisar y crear
- Si quieres asegurarte de que la generación de perfiles no se inicie automáticamente después de que
crees la configuración de análisis, selecciona Crear análisis en modo pausado.
Esta opción es útil en los siguientes casos:
- Decidiste guardar los perfiles de datos en BigQuery y quieres asegurarte de que el agente de servicio tenga acceso de escritura a tu tabla de resultados.
- Configuraste notificaciones de Pub/Sub y deseas otorgar acceso de publicación al agente de servicio.
- Revisa tu configuración y haz clic en Crear.
Sensitive Data Protection crea la configuración de análisis y la agrega a la lista de configuraciones de análisis de descubrimiento.
Para ver o administrar las opciones de configuración de los análisis, consulta Administrar las opciones de configuración de los análisis.