Una acción de Sensitive Data Protection es algo que ocurre después de que una operación se completa con éxito o, en el caso de los correos electrónicos, si se produce un error. Por ejemplo, puedes guardar los resultados en una tabla de BigQuery, publicar una notificación en un tema de Pub/Sub o enviar un correo electrónico cuando una operación finaliza correctamente o se detiene debido a un error.
Acciones disponibles
Cuando ejecutas un trabajo de Sensitive Data Protection, se guarda de forma predeterminada un resumen de sus resultados en Sensitive Data Protection. Puedes ver este resumen con Sensitive Data Protection en la consola de Google Cloud . En el caso de los trabajos, también puedes recuperar información de resumen en la API de DLP con el método projects.dlpJobs.get.
La Protección de datos sensibles admite diferentes tipos de acciones según el tipo de operación que se ejecute. A continuación, se indican las acciones admitidas.
Cómo guardar los resultados en BigQuery
Guarda los resultados del trabajo de protección de datos sensibles en una tabla de BigQuery. Antes de ver o analizar los resultados, primero asegúrate de que el trabajo se haya completado.
Cada vez que se ejecuta un análisis, la Protección de datos sensibles guarda los resultados en la tabla de BigQuery que especifiques. Los resultados exportados contienen detalles sobre la ubicación de cada resultado y la probabilidad de coincidencia. Si deseas que cada hallazgo incluya la cadena que coincidió con el detector de Infotipo, habilita la opción Incluir cita.
Si no especificas un ID de tabla, BigQuery asigna un nombre predeterminado a una tabla nueva la primera vez que se ejecuta el análisis. Si especificas una tabla existente, Sensitive Data Protection agrega los resultados del análisis a ella.
Cuando se escriben datos en una tabla de BigQuery, el uso de cuotas y la facturación se aplican al proyecto que contiene la tabla de destino.
Si no guardas los resultados en BigQuery, solo contendrán estadísticas sobre la cantidad y los infoTypes de los resultados.
Publicar en Pub/Sub
Publica una notificación que contenga el nombre del trabajo de Protección de datos sensibles como un atributo en un canal de Pub/Sub. Puedes especificar uno o más temas a los que se enviará el mensaje de notificación. Asegúrate de que la cuenta de servicio de Sensitive Data Protection que ejecuta el trabajo de análisis tenga acceso de publicación en el tema.
Si hay problemas de configuración o permisos con el tema de Pub/Sub, la Protección de datos sensibles vuelve a intentar enviar la notificación de Pub/Sub durante un máximo de dos semanas. Después de dos semanas, se descarta la notificación.
Publicar en Security Command Center
Publica un resumen de los resultados del trabajo en Security Command Center. Para obtener más información, consulta Envía resultados de análisis de Sensitive Data Protection a Security Command Center.
Publicar en Data Catalog
Envía los resultados del trabajo a Data Catalog. Esta función está obsoleta.
Notificar por correo electrónico
Enviar un correo electrónico cuando se complete el trabajo El correo electrónico se envía a los propietarios del proyecto de IAM y a los contactos esenciales técnicos.
Publicar en Cloud Monitoring
Envía los resultados de la inspección a Cloud Monitoring en Google Cloud Observability.
Hacer una copia desidentificada
Desidentifica los resultados en los datos inspeccionados y escribe el contenido desidentificado en un archivo nuevo. Luego, puedes usar la copia anonimizada en tus procesos comerciales, en lugar de los datos que contienen información sensible. Para obtener más información, consulta Crea una copia desidentificada de los datos de Cloud Storage con Sensitive Data Protection en la consola deGoogle Cloud .
Operaciones admitidas
En la siguiente tabla, se muestran las operaciones de Protección de datos sensibles y dónde está disponible cada acción.
| Acción | Inspección de BigQuery | Inspección de Cloud Storage | Inspección de Datastore | Inspección híbrida | Análisis de riesgos | Descubrimiento (creación de perfiles de datos) |
|---|---|---|---|---|---|---|
| Publicar en Google Security Operations | ✓ | |||||
| Cómo guardar los resultados en BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Security Command Center | ✓ | ✓ | ✓ | ✓ | ||
| Publicar en Data Catalog (obsoleto) | ✓ | ✓ | ||||
| Publica en Dataplex Universal Catalog | ✓ | |||||
| Notificar por correo electrónico | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Publicar en Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | ||
| Desidentificar resultados | ✓ |
Especifica acciones
Puedes especificar una o más acciones cuando configuras la Protección de datos sensibles:
- Cuando creas un nuevo trabajo de inspección o análisis de riesgos con Protección de datos sensibles en la consola de Google Cloud , especifica acciones en la sección Agregar acciones del flujo de trabajo de creación de trabajos.
- Cuando configuras una solicitud de trabajo nueva para enviar a la API de DLP, especifica las acciones en el objeto
Action.
Para obtener más información y un código de muestra en varios lenguajes, consulta los siguientes vínculos:
- Crea y programa trabajos de inspección
- Calcula el k-anonimato de un conjunto de datos
- Calcula la l-diversidad de un conjunto de datos
Ejemplo de situación de acción
Puedes usar las acciones de la Protección de datos sensibles para automatizar los procesos basados en los resultados del análisis de la Protección de datos sensibles. Supongamos que tienes una tabla de BigQuery compartida con un socio externo. Deseas asegurarte de que ambas tablas no contengan identificadores sensibles, como los números de identificación personal de EE.UU. (el infoType US_SOCIAL_SECURITY_NUMBER), y que, si encuentras alguno, se revoca el acceso al socio. A continuación, se muestra un esquema simple de un flujo de trabajo que usaría acciones:
- Crea un activador de trabajo de protección de datos sensibles para ejecutar un análisis de inspección de la tabla de BigQuery cada 24 horas.
- Configura la acción de estos trabajos para publicar una notificación de Pub/Sub al tema “projects/foo/scan_notifications”.
- Crea un Cloud Function que escuche los mensajes entrantes en “projects/foo/scan_notifications”. Esta función de Cloud Functions recibirá el nombre del trabajo de Protección de datos sensibles cada 24 horas, llamará a Protección de datos sensibles para obtener resultados resumidos de este trabajo y, si encuentra números de identificación personal, puede cambiar la configuración en BigQuery o en Identity and Access Management (IAM) para restringir el acceso a la tabla.
¿Qué sigue?
- Obtén más información sobre las acciones disponibles con los trabajos de inspección.
- Obtén más información sobre las acciones disponibles con los trabajos de análisis de riesgos.