Cloud Data Loss Prevention (Cloud DLP) ahora forma parte de Protección de Datos Sensibles. El nombre de la API sigue siendo el mismo: API Cloud Data Loss Prevention (API DLP). Para obtener información sobre los servicios que componen Protección de Datos Sensibles, consulta el artículo Información general sobre Protección de Datos Sensibles.

Esta página se ha traducido con Cloud Translation API.

Perfiles de datos

En esta página se describe el servicio de detección de datos sensibles. Este servicio te ayuda a determinar dónde se encuentran los datos sensibles y de alto riesgo en tu organización.

Información general

El servicio de descubrimiento te permite proteger los datos de toda tu organización identificando dónde se encuentran los datos sensibles y de alto riesgo. Cuando creas una configuración de análisis de descubrimiento, Protección de Datos Sensibles analiza tus recursos para identificar los datos incluidos en el ámbito de la creación de perfiles. A continuación, genera perfiles de tus datos. Mientras la configuración de descubrimiento esté activa, Protección de Datos Sensibles creará perfiles automáticamente de los datos que añadas y modifiques. Puede generar perfiles de datos en toda la organización, en carpetas concretas y en proyectos concretos.

Cada perfil de datos es un conjunto de estadísticas y metadatos que el servicio de descubrimiento recoge al analizar un recurso compatible. Las estadísticas incluyen los infoTypes previstos y los niveles de riesgo y sensibilidad de los datos calculados. Usa estos datos valiosos para tomar decisiones fundamentadas sobre cómo proteger, compartir y usar tus datos.

Los perfiles de datos se generan con distintos niveles de detalle. Por ejemplo, cuando creas perfiles de datos de BigQuery, se generan perfiles a nivel de proyecto, tabla y columna.

En la siguiente imagen se muestra una lista de perfiles de datos a nivel de columna. Haz clic en la imagen para ampliarla.

Captura de pantalla de los perfiles de datos de las columnas

Para ver una lista de las estadísticas y los metadatos incluidos en cada perfil de datos, consulte la referencia de métricas.

Para obtener más información sobre la Google Cloud jerarquía de recursos, consulta el artículo Jerarquía de recursos.

Generación de perfiles de datos

Para empezar a generar perfiles de datos, cree una configuración de análisis de descubrimiento (también llamada configuración de perfil de datos). En esta configuración de análisis se define el ámbito de la operación de detección y el tipo de datos que se quiere crear un perfil. En la configuración del análisis, puede definir filtros para especificar subconjuntos de datos que quiera crear perfiles o saltar. También puedes definir la programación de la creación de perfiles.

Cuando creas una configuración del análisis, también defines la plantilla de inspección que se va a usar. La plantilla de inspección es el lugar donde se especifican los tipos de datos sensibles (también llamados infoTypes) que debe buscar Protección de Datos Sensibles.

Cuando Protección de Datos Sensibles crea perfiles de datos, analiza sus datos en función de su configuración de análisis y su plantilla de inspección.

Protección de Datos Sensibles vuelve a crear perfiles de datos según se describe en la sección sobre la frecuencia de elaboración de perfiles de datos. Puedes personalizar la frecuencia de creación de perfiles en la configuración de análisis creando una programación. Para obligar al servicio de descubrimiento a volver a crear el perfil de tus datos, consulta Forzar una operación de creación de perfil.

Tipos de descubrimiento

En esta sección se describen los tipos de operaciones de descubrimiento que puedes realizar y los recursos de datos admitidos.

Descubrimiento de BigQuery y BigLake

Cuando creas perfiles de datos de BigQuery, se generan perfiles de datos a nivel de proyecto, tabla y columna. Después de crear un perfil de una tabla de BigQuery, puede investigar más a fondo los resultados realizando una inspección profunda.

Protección de Datos Sensibles crea perfiles de las tablas compatibles con la API Storage Read de BigQuery, incluidas las siguientes:

Tablas estándar de BigQuery
Capturas de tablas
Tablas de BigLake almacenadas en Cloud Storage

No se admiten los siguientes elementos:

Tablas de BigQuery Omni.
Tablas en las que el tamaño de los datos serializados de las filas individuales supera el tamaño máximo de datos serializados que admite la API Storage Read de BigQuery (128 MB).
Tablas externas que no son de BigLake, como Hojas de cálculo de Google.

Para obtener información sobre cómo crear perfiles de datos de BigQuery, consulta los siguientes artículos:

Para obtener más información sobre BigQuery, consulta la documentación de BigQuery.

Discovery para Cloud SQL

Cuando creas perfiles de datos de Cloud SQL, se generan perfiles de datos a nivel de proyecto, tabla y columna. Para que se pueda iniciar la detección, debes proporcionar los detalles de conexión de cada instancia de Cloud SQL que quieras crear un perfil.

Para obtener información sobre cómo crear perfiles de datos de Cloud SQL, consulta lo siguiente:

Para obtener más información sobre Cloud SQL, consulta la documentación de Cloud SQL.

Discovery para Cloud Storage

Cuando creas perfiles de datos de Cloud Storage, estos se generan a nivel de segmento. Protección de Datos Sensibles agrupa los archivos detectados en clústeres de archivos y proporciona un resumen de cada clúster.

Para obtener información sobre cómo crear perfiles de datos de Cloud Storage, consulta lo siguiente:

Para obtener más información sobre Cloud Storage, consulta la documentación de Cloud Storage.

Discovery para Vertex AI

Cuando creas un perfil de un conjunto de datos de Vertex AI, Protección de Datos Sensibles genera un perfil de datos de almacén de archivos o un perfil de datos de tabla, en función de dónde se almacenen tus datos de entrenamiento: Cloud Storage o BigQuery.

Para obtener más información, consulta las siguientes secciones:

Para obtener más información sobre Vertex AI, consulta la documentación de Vertex AI.

Descubrimiento para otros proveedores de servicios en la nube

Cuando creas perfiles de datos de S3, estos se generan a nivel del segmento. Cuando creas perfiles de datos de Azure Blob Storage, estos se generan a nivel de contenedor.

En ambos casos, Protección de Datos Sensibles agrupa los archivos detectados en clústeres de archivos y proporciona un resumen de cada clúster.

Para obtener más información, consulta las siguientes secciones:

Variables de entorno de Cloud Run

El servicio de detección puede detectar la presencia de secretos en las variables de entorno de las revisiones de los servicios y las funciones de Cloud Run, y enviar los resultados a Security Command Center. No se generan perfiles de datos.

Para obtener más información, consulta el artículo Informar de secretos en variables de entorno a Security Command Center.

Roles necesarios para configurar y ver perfiles de datos

En las secciones siguientes se enumeran los roles de usuario necesarios, clasificados según su finalidad. En función de la configuración de tu organización, puedes decidir que diferentes personas realicen diferentes tareas. Por ejemplo, la persona que configura los perfiles de datos puede ser diferente de la que los monitoriza periódicamente.

Roles necesarios para trabajar con perfiles de datos a nivel de organización o carpeta

Estos roles le permiten configurar y ver perfiles de datos a nivel de organización o de carpeta.

Asegúrate de que estos roles se concedan a las personas adecuadas a nivel de organización. También puede crear roles personalizados que solo tengan los permisos pertinentes. Google Cloud

Finalidad	Rol predefinido	Permisos pertinentes
Crear una configuración de análisis de descubrimiento y ver perfiles de datos	Administrador de DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Crea un proyecto que se usará como contenedor de agentes de servicio¹.	Creador del proyecto (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Conceder acceso de descubrimiento²	Una de las siguientes: Administrador de la organización (`roles/resourcemanager.organizationAdmin`) Administrador de seguridad (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy
Ver perfiles de datos (solo lectura)	Lector de perfiles de datos de DLP (`roles/dlp.dataProfilesReader`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Ver perfiles de datos (solo lectura)	Lector de DLP (`roles/dlp.reader`)	dlp.jobs.list dlp.jobTriggers.list

¹ Si no tienes el rol Project Creator (roles/resourcemanager.projectCreator), puedes crear una configuración de análisis, pero el contenedor del agente de servicio que utilices debe ser un proyecto que ya exista.

² Si no tienes el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) o de administrador de seguridad (roles/iam.securityAdmin), puedes crear una configuración de análisis. Después de crear la configuración de análisis, alguien de tu organización que tenga uno de estos roles debe conceder acceso de descubrimiento al agente de servicio.

Roles necesarios para trabajar con perfiles de datos a nivel de proyecto

Estos roles le permiten configurar y ver perfiles de datos a nivel de proyecto.

Asegúrate de que estos roles se asignen a las personas adecuadas a nivel de proyecto. También puede crear roles personalizados que solo tengan los permisos pertinentes. Google Cloud

Finalidad	Rol predefinido	Permisos pertinentes
Configurar y ver perfiles de datos	Administrador de DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Ver perfiles de datos (solo lectura)	Lector de perfiles de datos de DLP (`roles/dlp.dataProfilesReader`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Ver perfiles de datos (solo lectura)	Lector de DLP (`roles/dlp.reader`)	dlp.jobs.list dlp.jobTriggers.list

Configuración de análisis de descubrimiento

Una configuración de análisis de descubrimiento (a veces denominada configuración de descubrimiento o configuración de análisis) especifica cómo debe perfilar Protección de Datos Sensibles sus datos. Incluye los siguientes ajustes:

Ámbito (organización, carpeta o proyecto) de la operación de descubrimiento
Tipo de recurso para crear el perfil
Plantillas de inspección que se pueden usar
Frecuencia de análisis
Subconjuntos de datos específicos que deben incluirse o excluirse de la detección
Acciones que quieres que realice Protección de datos sensibles después del descubrimiento. Por ejemplo, a qué servicios Google Cloud quieres publicar los perfiles.
Agente de servicio que se va a usar en las operaciones de descubrimiento.

Para obtener información sobre cómo crear una configuración de análisis de descubrimiento, consulta las siguientes páginas:

Detección de datos de BigQuery
- Crear perfiles de datos de BigQuery en un solo proyecto
- Crear perfiles de datos de BigQuery en una organización o una carpeta
Detección de datos de Cloud SQL
- Crear perfiles de datos de Cloud SQL en un solo proyecto
- Crear perfiles de datos de Cloud SQL en una organización o carpeta
Descubrimiento de datos de Cloud Storage
- Crear perfiles de datos de Cloud Storage en un solo proyecto
- Crear perfiles de datos de Cloud Storage en una organización o carpeta
Discovery para datos de Vertex AI
- Crear perfiles de datos de Vertex AI en un solo proyecto
- Crear perfiles de datos de Vertex AI en una organización o carpeta
Detección de datos de Amazon S3
Detección de datos de Azure Blob Storage
Informar de los secretos de las variables de entorno de Cloud Run a Security Command Center (no se generan perfiles)

Ámbitos de configuración de análisis

Puede crear una configuración de análisis en los siguientes niveles:

Organización
Carpeta
Proyecto
Recurso de datos único

En los niveles de organización y carpeta, si dos o más configuraciones de análisis activas tienen el mismo proyecto en su ámbito, Protección de Datos Sensibles determina qué configuración de análisis puede generar perfiles para ese proyecto. Para obtener más información, consulta la sección Anular configuraciones de análisis de esta página.

Una configuración de análisis a nivel de proyecto siempre puede crear un perfil del proyecto de destino y no compite con otras configuraciones a nivel de la carpeta principal o de la organización.

La configuración de análisis de un único recurso está diseñada para ayudarte a explorar y probar la creación de perfiles en un único recurso de datos.

Ubicación de la configuración del análisis

La primera vez que crees una configuración de análisis, especificarás dónde quieres que Sensitive Data Protection la almacene. Todas las configuraciones de análisis posteriores que cree se almacenarán en esa misma región.

Por ejemplo, si creas una configuración de análisis para la carpeta A y la almacenas en la región us-west1, cualquier configuración de análisis que crees posteriormente para cualquier otro recurso también se almacenará en esa región.

Los metadatos sobre los datos que se van a crear se copian en la misma región que tus configuraciones de análisis, pero los datos en sí no se mueven ni se copian. Para obtener más información, consulta las consideraciones sobre la residencia de los datos.

Plantilla de inspección

Una plantilla de inspección especifica qué tipos de información (o infoTypes) busca Protección de Datos Sensibles al analizar sus datos. Aquí debe proporcionar una combinación de infoTypes integrados y infoTypes personalizados opcionales.

También puede proporcionar un nivel de probabilidad para acotar lo que Protección de Datos Sensibles considera una coincidencia. Puedes añadir conjuntos de reglas para excluir resultados no deseados o incluir resultados adicionales.

De forma predeterminada, si cambias una plantilla de inspección que usa tu configuración de análisis, los cambios solo se aplicarán a los análisis futuros. Tu acción no provoca una operación de creación de perfil en tus datos.

Si quiere que los cambios en la plantilla de inspección activen operaciones de creación de perfiles en los datos afectados, añada o actualice una programación en la configuración del análisis y active la opción para volver a crear el perfil de los datos cuando cambie la plantilla de inspección. Para obtener más información, consulta Frecuencia de generación de perfiles de datos.

Debe tener una plantilla de inspección en cada región en la que tenga datos que se vayan a perfilar. Si quieres usar una sola plantilla para varias regiones, puedes usar una plantilla almacenada en la región global. Si las políticas de la organización le impiden crear una plantilla de inspección en la región global, debe definir una plantilla de inspección específica para cada región. Para obtener más información, consulta Consideraciones sobre la residencia de los datos.

Las plantillas de inspección son un componente fundamental de la plataforma Protección de Datos Sensibles. Los perfiles de datos usan las mismas plantillas de inspección que puedes usar en todos los servicios de Protección de Datos Sensibles. Para obtener más información sobre las plantillas de inspección, consulta Plantillas.

Contenedor y agente de servicio

Cuando creas una configuración de análisis para tu organización o para una carpeta, Protección de Datos Sensibles te pide que proporciones un contenedor de agente de servicio. Un contenedor de agentes de servicio es un proyecto que Protección de Datos Sensibles usa para hacer un seguimiento de los cargos facturados relacionados con las operaciones de creación de perfiles a nivel de organización y de carpeta. Google Cloud

El contenedor del agente de servicio contiene un agente de servicio, que Protección de Datos Sensibles usa para crear perfiles de datos en tu nombre. Necesitas un agente de servicio para autenticarte en Protección de Datos Sensibles y otras APIs. Tu agente de servicio debe tener todos los permisos necesarios para acceder a tus datos y crear un perfil de ellos. El ID del agente de servicio tiene el siguiente formato:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

En este caso, PROJECT_NUMBER es el identificador numérico del contenedor del agente de servicio.

Cuando configures el contenedor del agente de servicio, puedes elegir un proyecto que ya tengas. Si el proyecto que seleccionas contiene un agente de servicio, Protección de Datos Sensibles le concede los permisos de gestión de identidades y accesos necesarios. Si el proyecto no tiene ningún agente de servicio, Protección de Datos Sensibles crea uno y le concede automáticamente permisos de creación de perfiles de datos.

También puede hacer que Protección de Datos Sensibles cree automáticamente el contenedor y el agente de servicio. Protección de Datos Sensibles concede automáticamente permisos de creación de perfiles de datos al agente de servicio.

En ambos casos, si Protección de Datos Sensibles no puede conceder acceso a la creación de perfiles de datos a tu agente de servicio, se mostrará un error cuando consultes los detalles de la configuración del análisis.

En el caso de las configuraciones de análisis a nivel de proyecto, no necesitas un contenedor de agente de servicio. El proyecto que estás creando perfiles cumple el propósito del contenedor del agente de servicio. Para ejecutar operaciones de creación de perfiles, Protección de Datos Sensibles usa el agente de servicio del proyecto.

Acceso a la elaboración de perfiles de datos a nivel de organización o carpeta

Cuando configuras la creación de perfiles a nivel de organización o de carpeta, Protección de Datos Sensibles intenta conceder automáticamente acceso a la creación de perfiles de datos a tu agente de servicio. Sin embargo, si no tienes permisos para asignar roles de gestión de identidades y accesos, Protección de Datos Sensibles no podrá realizar esta acción en tu nombre. Alguien de tu organización que tenga esos permisos, como un Google Cloud administrador, debe conceder acceso al perfilado de datos a tu agente de servicio.

Frecuencia de generación de perfiles de datos

Después de crear una configuración de análisis de descubrimiento para un recurso concreto, Protección de Datos Sensibles realiza un análisis inicial y crea un perfil de los datos incluidos en el ámbito de la configuración del análisis.

Tras el análisis inicial, Protección de Datos Sensibles monitoriza continuamente el recurso perfilado. Los datos añadidos al recurso se perfilan automáticamente poco después de añadirse.

Frecuencia de creación de perfiles predeterminada

La frecuencia de creación de perfiles predeterminada varía en función del tipo de descubrimiento de la configuración del análisis:

Creación de perfiles de BigQuery: en cada tabla, espera 30 días y, a continuación, vuelve a crear el perfil de la tabla si se han producido cambios en el esquema, las filas de la tabla o la plantilla de inspección.
Creación de perfiles de Cloud SQL: en cada tabla, espera 30 días y, a continuación, vuelve a crear el perfil de la tabla si se han producido cambios en el esquema o en la plantilla de inspección.
Perfilado de Vertex AI: en cada conjunto de datos, espere 30 días y, a continuación, vuelva a perfilar el conjunto de datos si la plantilla de inspección ha cambiado.
Creación de perfiles de almacén de archivos: en el caso de cada almacén de archivos de Google Cloud o de otras nubes, espera 30 días y, a continuación, vuelve a crear el perfil del almacén de archivos si la plantilla de inspección ha cambiado.

La protección de datos sensibles usa el término almacén de archivos para hacer referencia a un segmento o contenedor de almacenamiento de archivos.

Personalizar la frecuencia de creación de perfiles

En la configuración del análisis, puede personalizar la frecuencia de creación de perfiles creando una o varias programaciones para diferentes subconjuntos de sus datos.

Están disponibles las siguientes frecuencias de creación de perfiles:

No redefinir perfil: nunca se redefinirá el perfil después de que se hayan generado los perfiles iniciales.
Redefinir perfil diariamente: espera 24 horas antes de volver a definir el perfil.
Redefinir perfil semanalmente: espera 7 días antes de volver a definir el perfil.
Redefinir perfil mensualmente: espera 30 días antes de volver a definir el perfil.

Volver a crear perfiles según una programación

En la configuración del análisis, puede especificar si se debe volver a crear el perfil de un subconjunto de datos periódicamente, independientemente de si los datos han cambiado o no. La frecuencia que definas especificará el tiempo que debe transcurrir entre las operaciones de creación de perfiles. Por ejemplo, si define la frecuencia como semanal, Protección de Datos Sensibles crea un perfil de un recurso de datos siete días después de que se haya creado el último perfil.

Reprofiling on update

En la configuración de análisis, puedes especificar los eventos que pueden activar operaciones de creación de perfiles. Por ejemplo, las actualizaciones de plantillas de inspección.

Cuando selecciona estos eventos, la programación que define especifica el tiempo máximo que espera Protección de Datos Sensibles para que se acumulen las actualizaciones antes de volver a crear perfiles de sus datos. Si no se producen cambios aplicables (como cambios en el esquema o en la plantilla de inspección) en el periodo especificado, no se volverá a crear el perfil de los datos. Cuando se produzca el siguiente cambio aplicable, los datos afectados se volverán a perfilar en la siguiente oportunidad, que se determina en función de varios factores (como la capacidad de la máquina disponible o las unidades de suscripción compradas). A continuación, Protección de Datos Sensibles empieza a esperar a que se acumulen de nuevo las actualizaciones según la programación que hayas definido.

Por ejemplo, supongamos que tu configuración de análisis está definida para volver a crear perfiles mensualmente cuando se produzca un cambio en el esquema. Los perfiles de datos se crearon el día 0. No se producen cambios en el esquema antes del día 30, por lo que no se vuelve a crear el perfil de los datos. El día 35, se produce el primer cambio de esquema. Protección de Datos Sensibles vuelve a crear el perfil de los datos actualizados en la próxima oportunidad. A continuación, el sistema espera otros 30 días para que se acumulen las actualizaciones del esquema antes de volver a crear el perfil de los datos actualizados.

Desde el momento en que se inicia el cambio de perfil, la operación puede tardar hasta 24 horas en completarse. Si el retraso dura más de 24 horas y estás en el modo de precios de suscripción, comprueba si te queda capacidad para el mes.

Para ver ejemplos, consulta Ejemplos de precios de la creación de perfiles de datos.

Para obligar al servicio de descubrimiento a volver a crear el perfil de tus datos, consulta Forzar una operación de creación de perfil.

Creación de perfiles de rendimiento

El tiempo que se tarda en crear el perfil de tus datos varía en función de varios factores, entre los que se incluyen los siguientes:

Número de recursos de datos de los que se está creando un perfil
Tamaños de los recursos de datos
En el caso de las tablas, el número de columnas
En el caso de las tablas, los tipos de datos de las columnas

Por lo tanto, el rendimiento de Protección de Datos Sensibles en una tarea de inspección o creación de perfil anterior no indica cómo se comportará en tareas de creación de perfil futuras.

Conservación de los perfiles de datos

Protección de Datos Sensibles conserva la versión más reciente de un perfil de datos durante 13 meses. Cuando Protección de Datos Sensibles vuelve a crear el perfil de un recurso de datos, el sistema sustituye los perfiles que ya tenga por otros nuevos.

En los siguientes ejemplos, se presupone que está activada la frecuencia de creación de perfiles predeterminada de BigQuery:

El 1 de enero, Protección de Datos Sensibles crea el perfil de la tabla A. La tabla A no cambia en más de un año, por lo que no se vuelve a crear su perfil. En este caso, Protección de Datos Sensibles conserva los perfiles de datos de la tabla A durante 13 meses antes de eliminarlos.
El 1 de enero, Protección de Datos Sensibles crea el perfil de la tabla A. En el plazo de un mes, alguien de tu organización actualiza el esquema de esa tabla. Debido a este cambio, al mes siguiente, Protección de Datos Sensibles vuelve a crear automáticamente el perfil de la tabla A. Los perfiles de datos recién generados sobrescriben los que se crearon en enero.

Para obtener información sobre cómo cobra Protección de Datos Sensibles por la creación de perfiles de datos, consulta la página Precios de Detección.

Si quieres conservar los perfiles de datos indefinidamente o mantener un registro de los cambios que experimentan, te recomendamos que los guardes en BigQuery cuando configures la creación de perfiles. Tú eliges en qué conjunto de datos de BigQuery quieres guardar los perfiles y controlas la política de vencimiento de la tabla de ese conjunto de datos.

Anular configuraciones de análisis

Solo puedes crear una configuración de análisis por cada combinación de ámbito y tipo de descubrimiento. Por ejemplo, solo puedes crear una configuración de análisis a nivel de organización para la creación de perfiles de datos de BigQuery y una configuración de análisis a nivel de organización para la detección de secretos. Del mismo modo, solo puedes crear una configuración de análisis a nivel de proyecto para la creación de perfiles de datos de BigQuery y una configuración de análisis a nivel de proyecto para la detección de secretos.

Si dos o más configuraciones de análisis activas tienen el mismo proyecto y tipo de descubrimiento en su ámbito, se aplican las siguientes reglas:

De entre las configuraciones de análisis a nivel de organización y de carpeta, la que esté más cerca del proyecto podrá ejecutar la detección en ese proyecto. Esta regla se aplica aunque también exista una configuración de análisis a nivel de proyecto con el mismo tipo de descubrimiento.
Protección de Datos Sensibles trata las configuraciones de análisis a nivel de proyecto de forma independiente a las configuraciones a nivel de organización y de carpeta. Una configuración de análisis que crees a nivel de proyecto no puede anular una que crees para una carpeta o una organización principal.

Veamos el siguiente ejemplo, en el que hay tres configuraciones de análisis activas. Supongamos que todas estas configuraciones de análisis son para la creación de perfiles de datos de BigQuery.

Diagrama de una jerarquía de recursos con una configuración de análisis aplicada a una organización, una carpeta y un proyecto

En este caso, Configuración de análisis 1 se aplica a toda la organización, Configuración de análisis 2 se aplica a la carpeta Equipo B y Configuración de análisis 3 se aplica al proyecto Producción. En este ejemplo:

Protección de Datos Sensibles crea perfiles de todas las tablas de los proyectos que no están en la carpeta Equipo B según la configuración de análisis 1.
Protección de Datos Sensibles crea perfiles de todas las tablas de los proyectos de la carpeta Equipo B, incluidas las tablas del proyecto Producción, según la configuración de análisis 2.
Protección de Datos Sensibles crea perfiles de todas las tablas del proyecto Production (Producción) según la configuración de análisis 3.

En este ejemplo, Protección de Datos Sensibles genera dos conjuntos de perfiles para el proyecto Producción: un conjunto para cada una de las siguientes configuraciones de análisis:

Configuración de análisis 2
Configuración de análisis 3

Sin embargo, aunque haya dos conjuntos de perfiles para el mismo proyecto, no los verás todos juntos en tu panel de control. Solo verás los perfiles que se hayan generado en el recurso (organización, carpeta o proyecto) y en la región que estés consultando.

Para obtener más información sobre la jerarquía de recursos de Google Cloud, consulta el artículo Jerarquía de recursos.

Vistas generales de perfiles de datos

Cada perfil de datos incluye una instantánea de la configuración del análisis y de la plantilla de inspección que se usaron para generarlo. Puedes usar esta instantánea para consultar los ajustes que has utilizado para generar un perfil de datos concreto.

Consideraciones sobre la residencia de datos

Las consideraciones sobre la residencia de los datos varían en función de si analizaGoogle Cloud datos o datos de otros proveedores de la nube.

Consideraciones sobre la residencia de datos de Google Cloud

Esta sección solo se aplica a la detección de datos sensibles de los recursos de Google Cloud. Para obtener información sobre la residencia de datos en relación con los recursos de otros proveedores de servicios en la nube, consulta la sección Consideraciones sobre la residencia de datos de otros proveedores de servicios en la nube de esta página.

Protección de Datos Sensibles se ha diseñado para admitir la residencia de datos. Si debes cumplir los requisitos de residencia de datos, ten en cuenta lo siguiente:

Plantillas de inspección regionales

Protección de Datos Sensibles trata tus datos en la misma región en la que se almacenan. Es decir, tus datos no salen de la región en la que se encuentran.

Además, una plantilla de inspección solo se puede usar para crear perfiles de datos que residan en la misma región que la plantilla. Por ejemplo, si configura la detección para que use una plantilla de inspección almacenada en la región us-west1, Protección de Datos Sensibles solo puede crear perfiles de datos de esa región.

Puede definir una plantilla de inspección específica para cada región en la que tenga datos. Si proporciona una plantilla de inspección almacenada en la región global, Protección de Datos Sensibles usará esa plantilla para los datos de las regiones que no tengan una plantilla de inspección específica.

En la siguiente tabla se muestran algunos ejemplos:

Situación	Asistencia
Analiza los datos de la región `us` con una plantilla de inspección de la región `us`.	Compatible
Analiza los datos de la región `global` con una plantilla de inspección de la región `us`.	No compatible
Analiza datos de la región `us` con una plantilla de inspección de la región `global`.	Compatible
Analiza los datos de la región `us` con una plantilla de inspección de la región `us-east1`.	No compatible
Analiza los datos de la región `us-east1` con una plantilla de inspección de la región `us`.	No compatible
Analiza datos de la región `us` con una plantilla de inspección de la región `asia`.	No compatible

Configuración de perfil de datos

Cuando Protección de Datos Sensibles crea perfiles de datos, hace una captura de tu configuración de análisis y de tu plantilla de inspección, y las almacena en cada perfil de datos de tabla o perfil de datos de almacenamiento de archivos. Si configuras el descubrimiento para que use una plantilla de inspección de la región global, Protección de Datos Sensibles copiará esa plantilla en cualquier región que tenga datos que se vayan a perfilar. Del mismo modo, copia la configuración del análisis en esas regiones.

Por ejemplo, supongamos que el proyecto A contiene la tabla 1. La tabla 1 está en la región us-west1, la configuración de análisis está en la región us-west2 y la plantilla de inspección está en la región global.

Cuando Protección de Datos Sensibles analiza el proyecto A, crea perfiles de datos para la tabla 1 y los almacena en la región us-west1. El perfil de datos de la tabla 1 contiene copias de la configuración de análisis y de la plantilla de inspección que se han usado en la operación de creación de perfiles.

Si no quieres que tu plantilla de inspección se copie en otras regiones, no configures Protección de Datos Sensibles para que analice los datos de esas regiones.

Almacenamiento regional de perfiles de datos

Protección de Datos Sensibles trata sus datos en la región o multirregión en la que residen y almacena los perfiles de datos generados en la misma región o multirregión.

Para ver los perfiles de datos en la consola de Google Cloud , primero debes seleccionar la región en la que se encuentran. Si tienes datos en varias regiones, debes cambiar de región para ver cada conjunto de perfiles.

Regiones no admitidas

Si tiene datos en una región que Protección de Datos Sensibles no admite, el servicio de descubrimiento omitirá esos recursos de datos y mostrará un error cuando vea los perfiles de datos.

Multirregional

Protección de Datos Sensibles trata una multirregión como una región, no como un conjunto de regiones. Por ejemplo, la multirregión us y la región us-west1 se consideran dos regiones independientes en lo que respecta a la residencia de los datos.

Recursos de zona

Sensitive Data Protection es un servicio regional y multirregional, por lo que no distingue entre zonas. En el caso de un recurso zonal admitido, como una instancia de Cloud SQL, los datos se tratan en su región actual, pero no necesariamente en su zona actual. Por ejemplo, si una instancia de Cloud SQL se almacena en la zona us-central1-a, Protección de Datos Sensibles procesa y almacena los perfiles de datos en la región us-central1.

Para obtener información general sobre las Google Cloud ubicaciones, consulta el artículo Geografía y regiones.

Consideraciones sobre la residencia de datos de otros proveedores de servicios en la nube

Ten en cuenta lo siguiente cuando quieras crear perfiles de datos de otros proveedores de servicios en la nube:

Los perfiles de datos se almacenan junto con la configuración del análisis de detección. Por el contrario, cuando se crea un perfil de Google Cloud datos, los perfiles se almacenan en la misma región que los datos de los que se va a crear el perfil.
Si almacenas tu plantilla de inspección en la región global, se leerá una copia en memoria de esa plantilla en la región en la que almacenes la configuración del análisis de descubrimiento.
Tus datos no se modifican. Se lee una copia en memoria de tus datos en la región en la que almacenas la configuración del análisis de descubrimiento. Sin embargo, Protección de Datos Sensibles no ofrece ninguna garantía sobre la ruta que siguen los datos una vez que llegan a Internet público. Los datos se cifran con SSL.

Cumplimiento

Para obtener información sobre cómo gestiona Protección de Datos Sensibles tus datos y te ayuda a cumplir los requisitos, consulta Seguridad de los datos.

Siguientes pasos

Lee la entrada del blog Identidad y seguridad Gestión automática de riesgos de datos en BigQuery con Protección de Datos Sensibles.
Consulta cómo estimar el coste de la creación de perfiles de datos.
Consulta cómo elaborar perfiles de datos a nivel de organización, carpeta o proyecto.
Consulta cómo calcula la protección de datos sensibles los niveles de riesgo y sensibilidad de los datos al crear perfiles de tus datos.
Consulta cómo corregir los resultados de la detección.
Consulta cómo solucionar problemas con el profiler de datos.