En esta guía se explica cómo usar Protección de Datos Sensibles para inspeccionar una tabla de BigQuery y enviar los resultados de la inspección a Data Catalog.
También puedes realizar un perfil de datos, que es diferente de una operación de inspección. También puede enviar perfiles de datos a Dataplex Universal Catalog. Para obtener más información, consulta Etiquetar tablas en Dataplex Universal Catalog a partir de las estadísticas de los perfiles de datos.
Data Catalog es un servicio de gestión de metadatos escalable que te permite descubrir, gestionar e interpretar todos tus datos de Google Cloudrápidamente.
Protección de Datos Sensibles tiene una integración integrada con Data Catalog. Cuando usas una acción de Protección de Datos Sensibles para inspeccionar tus tablas de BigQuery en busca de datos sensibles, puede enviar los resultados directamente a Data Catalog en forma de plantilla de etiqueta.
Si sigues los pasos que se indican en esta guía, podrás hacer lo siguiente:
- Habilita Data Catalog y Protección de Datos Sensibles.
- Configura Protección de Datos Sensibles para inspeccionar una tabla de BigQuery.
- Configura una inspección de Protección de Datos Sensibles para enviar los resultados de la inspección a Data Catalog.
Para obtener más información sobre Data Catalog, consulta la documentación de Data Catalog.
Si quiere enviar los resultados de las operaciones de elaboración de perfiles de datos (no de los trabajos de inspección) a Dataplex Universal Catalog, consulte la documentación sobre cómo elaborar perfiles de una organización o una carpeta, o bien de un proyecto.
Costes
En este documento, se utilizan los siguientes componentes facturables de Google Cloud:
- Sensitive Data Protection
- BigQuery
Para generar una estimación de costes basada en el uso previsto,
utiliza la calculadora de precios.
Antes de empezar
Para poder enviar los resultados de la inspección de Protección de Datos Sensibles a Data Catalog, haz lo siguiente:
- Paso 1: Configura la facturación.
- Paso 2: Crea un proyecto y rellena una tabla de BigQuery. (Opcional)
- Paso 3: Habilita Data Catalog.
- Paso 4: Habilita Protección de Datos Sensibles.
En las siguientes subsecciones se explica cada paso en detalle.
Paso 1: Configura la facturación
Primero debes configurar una cuenta de facturación si aún no tienes una.
Descubre cómo habilitar la facturación.
Paso 2: Crear un proyecto y rellenar una tabla de BigQuery (opcional)
Si vas a configurar esta función para el trabajo de producción o ya tienes una tabla de BigQuery que quieres inspeccionar, abre el proyectoGoogle Cloud que contiene la tabla y ve al paso 3.
Si estás probando esta función y quieres inspeccionar los datos de prueba, crea un proyecto. Para completar este paso, debes tener el rol de gestión de identidades y accesos Creador de proyectos. Consulta más información sobre los roles de gestión de identidades y accesos.
- Ve a la página Nuevo proyecto de la Google Cloud consola.
- En la lista desplegable Cuenta de facturación, selecciona la cuenta a la que se debe facturar el proyecto.
- En la lista desplegable Organización, selecciona la organización en la que quieras crear el proyecto.
- En la lista desplegable Ubicación, selecciona la organización o la carpeta en la que quieras crear el proyecto.
- Haz clic en Crear para crear el proyecto.
A continuación, descarga y almacena los datos de ejemplo:
- Ve al repositorio de tutoriales de funciones de Cloud Run en GitHub.
- Selecciona uno de los archivos CSV que tenga datos de ejemplo y, a continuación, descarga el archivo.
- A continuación, ve a BigQuery en la consola de Google Cloud .
- Selecciona el proyecto.
- Haz clic en Crear conjunto de datos.
- Haz clic en Crear tabla.
- Haz clic en Subir y, a continuación, selecciona el archivo que quieras subir.
- Ponle un nombre a la tabla y haz clic en Crear tabla.
Paso 3: Habilita Data Catalog
A continuación, habilita Data Catalog en el proyecto que contiene la tabla de BigQuery que quieres inspeccionar con Protección de Datos Sensibles.
Para habilitar Data Catalog mediante la Google Cloud consola, sigue estos pasos:
- Registre su aplicación en Data Catalog.
- En la página de registro, en la lista desplegable Crear un proyecto, selecciona el proyecto que quieras usar con Data Catalog.
- Una vez que hayas seleccionado el proyecto, haz clic en Continuar.
Data Catalog ya está habilitado en tu proyecto.
Paso 4: Habilita la protección de datos sensibles
Habilita Protección de Datos Sensibles en el mismo proyecto en el que hayas habilitado Data Catalog.
Para habilitar Protección de Datos Sensibles con la consola de Google Cloud , sigue estos pasos:
- Registre su aplicación para usar Protección de Datos Sensibles.
Registrar tu aplicación para usar Protección de Datos Sensibles
- En la página de registro, en la lista desplegable Crear un proyecto, selecciona el mismo proyecto que elegiste en el paso anterior.
- Una vez que hayas seleccionado el proyecto, haz clic en Continuar.
Protección de Datos Sensibles ya está habilitada en tu proyecto.
Configurar y ejecutar una tarea de inspección de Protección de Datos Sensibles
Puedes configurar y ejecutar una tarea de inspección de Protección de Datos Sensibles mediante la Google Cloud consola o la API DLP.
Las plantillas de etiquetas de Data Catalog se almacenan en el mismo proyecto y región que la tabla de BigQuery. Si vas a inspeccionar una tabla de otro proyecto, debes asignar el rol Propietario de TagTemplate de Data Catalog (roles/datacatalog.tagTemplateOwner) al agente de servicio de Protección de Datos Sensibles en el proyecto en el que se encuentra la tabla de BigQuery.
Google Cloud consola
Para configurar una tarea de inspección de una tabla de BigQuery con Protección de Datos Sensibles, sigue estos pasos:
En la sección Protección de datos sensibles de la consola de Google Cloud Google Cloud, ve a la página Crear trabajo o activador de trabajo.
Introduce la información del trabajo de protección de datos sensibles y haz clic en Continuar para completar cada paso:
En Paso 1: Elige los datos de entrada, asigna un nombre al trabajo introduciendo un valor en el campo Nombre. En Ubicación, elija BigQuery en el menú Tipo de almacenamiento y, a continuación, introduzca la información de la tabla que se va a inspeccionar. La sección Muestreo está preconfigurada para realizar una inspección de muestra de sus datos. Puedes ajustar los campos Limitar filas por y Número máximo de filas para ahorrar recursos si tienes una gran cantidad de datos. Para obtener más información, consulta Elegir datos de entrada.
(Opcional) En Paso 2: Configurar la detección, se configura qué tipos de datos se deben buscar, denominados "infoTypes". Para seguir este tutorial, mantén seleccionados los infoTypes predeterminados. Para obtener más información, consulta Configurar la detección.
En Paso 3: Añade acciones, habilita Guardar en Data Catalog.
(Opcional) En Paso 4: Programar, para este tutorial, deja el menú en Ninguno para que la inspección se ejecute solo una vez. Para obtener más información sobre cómo programar inspecciones periódicas, consulta Programar.
Haz clic en Crear. La tarea se ejecuta inmediatamente.
DLP API
En esta sección, configurará y ejecutará un trabajo de inspección de Protección de Datos Sensibles.
La tarea de inspección que configures aquí indica a Protección de Datos Sensibles que inspeccione los datos de BigQuery de ejemplo descritos en el paso 2 anterior o tus propios datos de BigQuery. La configuración de la tarea que especifiques también es donde indicas a Protección de Datos Sensibles que guarde los resultados de la inspección en el catálogo de datos.
Paso 1: Anota el identificador de tu proyecto
Ve a la Google Cloud consola.
Haz clic en Seleccionar.
En la lista desplegable Seleccionar de, elige la organización en la que has habilitado Data Catalog.
En ID, copia el ID del proyecto que contiene los datos que quieres inspeccionar. Este es el proyecto que se describe en el paso Configurar repositorios de almacenamiento de esta página.
En Nombre, haga clic en el proyecto para seleccionarlo.
Paso 2: Abre Explorador de APIs y configura el trabajo
Ve al Explorador de APIs en la página de referencia del método
dlpJobs.create. Para tener estas instrucciones a mano, haz clic con el botón derecho en el siguiente enlace y ábrelo en una pestaña o ventana nueva:En el cuadro parent, introduce lo siguiente, donde project-id es el ID del proyecto que has anotado anteriormente en el paso anterior:
projects/project-id
A continuación, copia el siguiente JSON. Selecciona el contenido del campo Cuerpo de la solicitud en Explorador de APIs y, a continuación, pega el JSON para sustituir el contenido. Asegúrate de sustituir los marcadores de posición
project-id,bigquery-dataset-nameybigquery-table-namepor el ID del proyecto, el conjunto de datos y los nombres de las tablas de BigQuery, respectivamente.{ "inspectJob": { "storageConfig": { "bigQueryOptions": { "tableReference": { "projectId": "project-id", "datasetId": "bigquery-dataset-name", "tableId": "bigquery-table-name" } } }, "inspectConfig": { "infoTypes": [ { "name": "EMAIL_ADDRESS" }, { "name": "PERSON_NAME" }, { "name": "US_SOCIAL_SECURITY_NUMBER" }, { "name": "PHONE_NUMBER" } ], "includeQuote": true, "minLikelihood": "UNLIKELY", "limits": { "maxFindingsPerRequest": 100 } }, "actions": [ { "publishFindingsToCloudDataCatalog": {} } ] } }
Para obtener más información sobre las opciones de inspección disponibles, consulta Buscar datos sensibles en el almacenamiento y las bases de datos. Para ver una lista completa de los tipos de información que puede inspeccionar Protección de Datos Sensibles, consulta la referencia de infoTypes.
Paso 3: Ejecuta la solicitud para iniciar el trabajo de inspección
Después de configurar el trabajo siguiendo los pasos anteriores, haga clic en Ejecutar para enviar la solicitud. Si la solicitud se realiza correctamente, aparece una respuesta con un código de éxito y un objeto JSON que indica el estado del trabajo de protección de datos sensibles que acabas de crear.
La respuesta a tu solicitud de inspección incluye el ID de la tarea de inspección como clave "name" y el estado actual de la tarea de inspección como clave "state". Como acabas de enviar la solicitud, el estado del trabajo en ese momento es "PENDING".
Comprobar el estado de la tarea de inspección de Protección de Datos Sensibles
Una vez que envíe la solicitud de inspección, el trabajo de inspección comenzará inmediatamente.
Google Cloud consola
Para comprobar el estado del trabajo de inspección, sigue estos pasos:
En la consola de Google Cloud , abre Protección de Datos Sensibles.
Haz clic en la pestaña Tareas y activadores de tareas y, a continuación, en Todas las tareas.
El trabajo que acabas de ejecutar probablemente esté en la parte superior de la lista. Consulta la columna Estado para asegurarte de que su estado es Hecho.
Puedes hacer clic en el ID de la tarea para ver los resultados. Después de cada detector de infoType que aparece en la página Detalles del trabajo, se indica el número de coincidencias que se han encontrado en el contenido.
DLP API
Para comprobar el estado del trabajo de inspección, sigue estos pasos:
Ve al Explorador de APIs en la página de referencia del método
dlpJobs.gethaciendo clic en el siguiente botón:En el cuadro name (nombre), escribe el nombre del trabajo de la respuesta JSON a la solicitud de inspección con el siguiente formato:
projects/project-id/dlpJobs/job-id
i-1234567890123456789.Para enviar la solicitud, haz clic en Ejecutar.
Si la clave "state" del objeto JSON de respuesta indica que el trabajo es "DONE",
significa que el trabajo de inspección ha finalizado.
Para ver el resto de la respuesta JSON, desplázate hacia abajo en la página. En "result" >
"infoTypeStats", cada tipo de información de la lista debe tener un
"count" correspondiente. Si no es así, asegúrese de que ha introducido el JSON correctamente y de que la ruta o la ubicación de sus datos son correctas.
Una vez que se haya completado el trabajo de inspección, puedes continuar con la siguiente sección de esta guía para ver los resultados de la inspección en Security Command Center.
Ver los resultados de la inspección de Protección de Datos Sensibles en Data Catalog
Como has indicado a Protección de Datos Sensibles que envíe los resultados de su trabajo de inspección a Data Catalog, ahora puedes ver las etiquetas y la plantilla de etiquetas creadas automáticamente en la interfaz de usuario de Data Catalog:
- Ve a la página Data Catalog de la Google Cloud consola.
- Busca la tabla que has inspeccionado.
- Haga clic en los resultados que coincidan con su tabla para ver sus metadatos.
En la siguiente captura de pantalla se muestra la vista de metadatos de Data Catalog de una tabla de ejemplo:
.
Resumen de la inspección
Los resultados de Protección de Datos Sensibles se incluyen de forma resumida en la tabla que has inspeccionado. Este resumen incluye el número total de infoTypes, así como datos de resumen sobre la tarea de inspección, como las fechas y el ID del recurso de la tarea.
Se muestra cualquier infoTypes que se haya inspeccionado. Aquellos que tienen resultados muestran un recuento mayor que cero.
Eliminar los recursos utilizados
Para evitar que se apliquen cargos en tu cuenta de Google Cloud por los recursos utilizados en este tema, haz una de las siguientes acciones, en función de si has usado datos de muestra o tus propios datos:
- Datos de ejemplo: elimina el proyecto que has creado.
- Tus datos: elimina la tarea de Protección de Datos Sensibles que has creado.
Eliminar el proyecto
La forma más fácil de evitar que te cobren es eliminar el proyecto que has creado siguiendo las instrucciones de este tema.
Para ello, sigue las instrucciones que aparecen a continuación:
- En la Google Cloud consola, ve a la página Proyectos.
-
En la lista de proyectos, selecciona el proyecto que quieras eliminar y haz clic en Eliminar proyecto.
- En el cuadro de diálogo, escribe el ID del proyecto y, a continuación, haz clic en Cerrar para eliminar el proyecto.
Si eliminas el proyecto con este método, también se eliminarán el trabajo de Protección de Datos Sensibles y el segmento de Cloud Storage que hayas creado. No es necesario que sigas las instrucciones de las secciones siguientes.
Eliminar la tarea o el activador de tarea de Protección de Datos Sensibles
Si has inspeccionado tus propios datos, elimina la tarea de inspección o el activador de tarea que acabas de crear.
Google Cloud consola
En la consola de Google Cloud , abre Protección de Datos Sensibles.
Haga clic en la pestaña Trabajos y activadores de trabajos y, a continuación, en la pestaña Activadores de trabajos.
En la columna Acciones del activador de trabajo que quieras eliminar, haz clic en el menú Más acciones (tres puntos verticales) y, a continuación, en Eliminar.
También puedes eliminar los detalles del trabajo que has ejecutado. Haz clic en la pestaña Todos los trabajos y, a continuación, en la columna Acciones del trabajo que quieras eliminar, haz clic en el menú Más acciones (tres puntos verticales) y, después, en Eliminar.
DLP API
Ve al Explorador de APIs en la página de referencia del método
dlpJobs.deletehaciendo clic en el siguiente botón:En el cuadro name, escribe el nombre del trabajo de la respuesta JSON a la solicitud de inspección, que tiene el siguiente formato:
projects/project-id/dlpJobs/job-id
i-1234567890123456789.
Si has creado más trabajos de inspección o quieres asegurarte de que has eliminado el trabajo correctamente, puedes enumerar todos los trabajos que tengas:
Ve al Explorador de APIs en la página de referencia del método
dlpJobs.listhaciendo clic en el siguiente botón:En el cuadro parent, escribe el identificador del proyecto con el siguiente formato, donde project-id es el identificador del proyecto:
projects/project-id
Haz clic en la opción para ejecutar.
Si no hay ningún trabajo en la respuesta, significa que has eliminado todos los trabajos. Si se muestran trabajos en la respuesta, repite el procedimiento de eliminación anterior para esos trabajos.
Siguientes pasos
- Consulta más información sobre la
publishFindingsToCloudDataCatalogacción de la protección de datos sensibles. - Más información sobre cómo crear etiquetas personalizadas o etiquetas a nivel de columna en Data Catalog a partir de los resultados de Protección de Datos Sensibles
- Consulta más información sobre cómo inspeccionar repositorios de almacenamiento en busca de datos sensibles con Protección de Datos Sensibles.
- Consulta cómo usar Data Catalog.