En este documento, se describen las acciones que puede realizar Sensitive Data Protection después de ejecutar un trabajo de inspección o un análisis de riesgos.
Una acción es una tarea que Sensitive Data Protection realiza después de completar un trabajo de inspección o un análisis de riesgos. Por ejemplo, puedes guardar los resultados en una tabla de BigQuery, publicar una notificación en un tema de Pub/Sub o enviar un correo electrónico cuando una operación finaliza correctamente o se detiene en error.
Las operaciones de descubrimiento de datos sensibles tienen un conjunto diferente de acciones. Para obtener más información sobre las acciones de descubrimiento, consulta Habilita las acciones de descubrimiento.
Acciones disponibles
Cuando ejecutas un trabajo de Sensitive Data Protection, se guarda de forma predeterminada un resumen de sus resultados en Sensitive Data Protection. Puedes ver este resumen con
Sensitive Data Protection en la Google Cloud consola. También
puedes recuperar información de resumen en la API de DLP con el
projects.dlpJobs.get
método.
En las siguientes secciones, se describen las acciones disponibles para los trabajos de inspección y análisis de riesgos.
Guarda los resultados en BigQuery
Guarda los resultados del trabajo de Sensitive Data Protection en una BigQuery. Antes de ver o analizar los resultados, primero verifica que el trabajo se haya completado.
Cada vez que se ejecuta un análisis, Sensitive Data Protection guarda los resultados del análisis en la tabla de BigQuery que especifiques. Los resultados exportados contienen detalles sobre la ubicación de cada resultado y la probabilidad de coincidencia.
Si deseas que cada resultado incluya la cadena que coincidió con el detector de Infotipo, habilita la opción Incluir cita. Las citas son potencialmente sensibles, por lo que Sensitive Data Protection no las incluye en los resultados de forma predeterminada.
Si no especificas un ID de tabla, BigQuery asigna un nombre predeterminado a una tabla nueva la primera vez que se ejecuta el análisis. El nombre es similar a
dlpgoogleapisDATE_1234567890, donde
DATE representa la fecha en que se ejecuta el análisis. Si especificas una tabla existente, Sensitive Data Protection le agrega los resultados del análisis.
Cuando se escriben datos en una tabla de BigQuery, el uso de cuotas y la facturación se aplican a l proyecto que contiene la tabla de destino.
Guarda los resultados en Cloud Storage
Guarda los resultados del trabajo de Sensitive Data Protection en un bucket o una carpeta de Cloud Storage existentes. Antes de ver o analizar los resultados, primero verifica que el trabajo se haya completado.
Si inspeccionas un bucket de Cloud Storage, el bucket que designes para los resultados exportados no debe ser el bucket que inspeccionas.
Cada vez que se ejecuta un análisis, Sensitive Data Protection guarda los resultados del análisis en la ubicación de Cloud Storage que especifiques. Los resultados exportados contienen detalles sobre la ubicación de cada resultado y la probabilidad de coincidencia.
Si deseas que cada resultado incluya la cadena que coincidió con el detector de Infotipo, habilita la opción Incluir cita. Las citas son potencialmente sensibles, por lo que Sensitive Data Protection no las incluye en los resultados de forma predeterminada.
Los resultados se exportan en formato de texto Protobuf como un
SaveToGcsFindingsOutput
objeto. Para obtener información sobre cómo analizar los resultados en este formato, consulta Analiza
los resultados almacenados como texto
Protobuf.
Publicar en Pub/Sub
Publica una notificación que contenga el nombre del trabajo de Sensitive Data Protection como un atributo en un canal de Pub/Sub. Puedes especificar uno o más temas para enviar el mensaje de notificación. Asegúrate de que la cuenta de servicio de Sensitive Data Protection que ejecuta el trabajo de análisis tenga acceso de publicación en el tema.
Si hay problemas de configuración o permisos con el tema de Pub/Sub, Sensitive Data Protection vuelve a intentar enviar la notificación de Pub/Sub hasta por dos semanas. Después de dos semanas, se descarta la notificación.
Publicar en Security Command Center
Publica un resumen de los resultados del trabajo en Security Command Center. Para obtener más información, consulta Envía resultados de análisis de Sensitive Data Protection a Security Command Center.
Para usar esta acción, tu proyecto debe pertenecer a una organización, y Security Command Center debe estar activado a nivel de la organización. De lo contrario, los resultados de Sensitive Data Protection no aparecerán en Security Command Center. Para obtener más información, consulta Verifica el nivel de activación de Security Command Center.
Publicar en Knowledge Catalog
Envía los resultados de un trabajo de inspección de BigQuery a Knowledge Catalog. Para obtener más información, consulta Envía los resultados de la inspección a Knowledge Catalog como aspectos.
Publicar en Data Catalog
Envía los resultados del trabajo a Data Catalog. Esta función está obsoleta.
Notificar por correo electrónico
Envía un correo electrónico cuando se complete el trabajo. El correo electrónico se envía a los propietarios del proyecto de IAM y a los contactos técnicos esenciales.
Publicar en Cloud Monitoring
Envía los resultados de la inspección a Cloud Monitoring en Google Cloud Observability.
Hacer una copia desidentificada
Desidentifica los resultados en los datos inspeccionados y escribe el contenido desidentificado en un archivo nuevo. Luego, puedes usar la copia desidentificada en tus procesos empresariales, en lugar de los datos que contienen información sensible. Para obtener más información, consulta Crea una copia desidentificada de los datos de Cloud Storage con Sensitive Data Protection en la Google Cloud consola.
Operaciones admitidas
En la siguiente tabla, se muestran las operaciones de Sensitive Data Protection y dónde está disponible cada acción.
| Acción | Inspección de BigQuery | Inspección de Cloud Storage | Inspección de Datastore | Inspección híbrida | Análisis de riesgos |
|---|---|---|---|---|---|
| Guarda los resultados en BigQuery | ✓ | ✓ | ✓ | ✓ | ✓ |
| Guarda los resultados en Cloud Storage | ✓ | ✓ | ✓ | ✓ | |
| Publicar en Pub/Sub | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Security Command Center | ✓ | ✓ | ✓ | ||
| Publicar en Knowledge Catalog | ✓ | ||||
| Publicar en Data Catalog (obsoleto) | ✓ | ||||
| Notificar por correo electrónico | ✓ | ✓ | ✓ | ✓ | ✓ |
| Publicar en Cloud Monitoring | ✓ | ✓ | ✓ | ✓ | |
| Desidentificar resultados | ✓ |
Especifica acciones
Puedes especificar una o más acciones cuando configuras un trabajo:
- Cuando creas un nuevo trabajo de inspección o análisis de riesgos con Sensitive Data Protection en la Google Cloud consola, especifica acciones en la sección Agregar acciones del flujo de trabajo de creación de trabajos.
- Cuando configuras una solicitud de trabajo nueva para enviar a la API de DLP,
especifica las acciones en el
Actionobjeto.
Para obtener más información y un código de muestra en varios lenguajes, consulta los siguientes vínculos:
- Crea y programa trabajos de inspección
- Calcula el k-anonimato de un conjunto de datos
- Calcula la l-diversidad de un conjunto de datos
Ejemplo de situación de acción
Puedes usar las acciones de Sensitive Data Protection para automatizar los procesos basados en los resultados del análisis de Sensitive Data Protection. Supongamos que tienes una tabla de BigQuery compartida con un socio externo. Deseas asegurarte de que ambas tablas no contengan identificadores sensibles, como los números de identificación personal de EE.UU. (el infoType US_SOCIAL_SECURITY_NUMBER), y que, si encuentras alguno, se revoca el acceso al socio. A continuación, se muestra un esquema simple de un flujo de trabajo que usaría acciones:
- Crea un activador de trabajo de Sensitive Data Protection para ejecutar un análisis de inspección de la tabla de BigQuery cada 24 horas.
- Configura la acción de estos trabajos para publicar una notificación de Pub/Sub al tema "projects/foo/scan_notifications."
- Crea un Cloud Function que escuche los mensajes entrantes en "projects/foo/scan_notifications". Esta función de Cloud Functions recibirá el nombre del trabajo de Sensitive Data Protection cada 24 horas, llamará a Sensitive Data Protection para obtener resultados resumidos de este trabajo y, si encuentra números de identificación personal, puede cambiar la configuración en BigQuery o la administración de identidades y accesos (IAM) para restringir el acceso a la tabla.
¿Qué sigue?
- Obtén más información sobre las acciones disponibles con los trabajos de inspección.
- Obtén más información sobre las acciones disponibles con los trabajos de análisis de riesgos.
- Obtén más información sobre las acciones disponibles con las operaciones de descubrimiento de datos sensibles.