Permite el descubrimiento de datos sensibles dentro de los perímetros de servicio

En este documento, se describe cómo permitir que Sensitive Data Protection descubra y cree perfiles de los datos en tus perímetros de Controles del servicio de VPC. Si tu organización usa los Controles del servicio de VPC para restringir los servicios en los proyectos que analiza Sensitive Data Protection, realiza las tareas que se indican en este documento.

Para obtener más información, consulta la descripción general del descubrimiento de datos sensibles.

Para obtener información sobre la compatibilidad de los Controles del servicio de VPC con Sensitive Data Protection, consulta la tabla de productos compatibles en la documentación de los Controles del servicio de VPC.

Antes de comenzar

Asegúrate de tener los siguientes roles en la organización: Editor de Access Context Manager (roles/accesscontextmanager.policyEditor).

Verifica los roles

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM
  2. Selecciona la organización.

  3. En la columna Principal, busca todas las filas que te identifiquen a ti o a un grupo en el que se te incluya. Para saber en qué grupos estás incluido, comunícate con tu administrador.

  4. Para todas las filas en las que se te especifique o se te incluya, verifica la columna Rol para ver si la lista de roles incluye los roles necesarios.

Otorga los roles

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. Haz clic en Seleccionar un rol y, luego, busca el rol.
  6. Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
  7. Haz clic en Guardar.

Configura el descubrimiento de datos sensibles en los Controles del servicio de VPC

Puedes configurar la detección de Sensitive Data Protection dentro de un perímetro de Controles del servicio de VPC con uno de estos enfoques arquitectónicos.

Opción 1: Todos los recursos necesarios en el mismo perímetro que los datos que se analizarán

Asegúrate de que todos los componentes involucrados en la operación de descubrimiento se encuentren dentro del mismo perímetro. Es decir, todos estos componentes deben estar en el mismo perímetro:

Si tienes varios perímetros de Controles del servicio de VPC en tu organización, crea componentes dedicados dentro de cada uno de esos perímetros.

Por ejemplo, si un perímetro incluye varios proyectos que pertenecen a la misma carpeta, crea una configuración de análisis de detección que se limite a esa carpeta. Asegúrate de que el contenedor del agente de servicio que usas sea uno de los proyectos en ese mismo perímetro.

Si eliges esta opción, no es necesario que crees reglas de entrada y salida para el descubrimiento de datos sensibles.

Opción 2: Configuración de descubrimiento centralizada con reglas de entrada y salida

Crea una configuración de análisis de detección centralizada para toda tu organización o para varios proyectos en varios perímetros.

Si esta configuración de análisis de descubrimiento centralizado no reside dentro del mismo perímetro que los datos que se analizarán, crea reglas de entrada y salida.

Crea las reglas de entrada y salida

Crea estas reglas de entrada y salida si eliges la Opción 2 y los datos que se analizarán se encuentran en un perímetro diferente de la configuración del análisis de descubrimiento centralizado.

Para obtener más información, consulta Actualiza las políticas de entrada y salida de un perímetro de servicio en la documentación de los Controles del servicio de VPC.

Para definir tus reglas de entrada y salida, puedes usar una o ambas de las siguientes opciones:

  • ID del agente de servicio especificado en la configuración del análisis de descubrimiento centralizado
  • Proyecto que contiene la configuración del análisis de descubrimiento centralizado

Reglas de entrada

Para cada perímetro que contenga datos que se analizarán, actualiza la política de entrada para agregar una regla de entrada para las operaciones de descubrimiento de datos sensibles.

  • Para usar el ID del agente de servicio, en la sección De, configura Identidades como Seleccionar identidades y grupos. Agrega y selecciona el ID del agente de servicio especificado en la configuración del análisis de descubrimiento centralizado. El ID del agente de servicio tiene el siguiente formato:

    service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

    Reemplaza PROJECT_NUMBER por el identificador numérico del contenedor del agente de servicio.

  • Para usar el proyecto, en la sección From, establece Sources en el proyecto que contiene la configuración de análisis de descubrimiento centralizada.

En el siguiente ejemplo, se usan el ID del agente de servicio y el proyecto para definir la regla de entrada.

Regla de entrada con un ID de agente de servicio y un proyecto establecidos.

Reglas de salida

Para cada perímetro que contenga datos que se analizarán, actualiza la política de salida para agregar una regla de salida para las operaciones de descubrimiento de datos sensibles.

  • Para usar el ID del agente de servicio, en la sección De, configura Identidades como Seleccionar identidades y grupos. Agrega y selecciona el ID del agente de servicio especificado en la configuración del análisis de descubrimiento centralizado. El ID del agente de servicio tiene el siguiente formato:

    service-PROJECT_NUMBER@dlp-api.iam.iam.gserviceaccount.com

    Reemplaza PROJECT_NUMBER por el identificador numérico del contenedor del agente de servicio.

  • Para usar el proyecto, en la sección Para, establece Recursos en Seleccionar proyectos. Agrega y selecciona el proyecto que contiene la configuración de análisis de descubrimiento centralizado.

En el siguiente ejemplo, se usan el ID del agente de servicio y el proyecto para definir la regla de salida.

Regla de salida con un ID de agente de servicio y un proyecto establecidos.