Cloud Data Loss Prevention (Cloud DLP) ahora forma parte de Protección de Datos Sensibles. El nombre de la API sigue siendo el mismo: API Cloud Data Loss Prevention (API DLP). Para obtener información sobre los servicios que componen Protección de Datos Sensibles, consulta el artículo Información general sobre Protección de Datos Sensibles.

Esta página se ha traducido con Cloud Translation API.

Crear una clave encapsulada

En esta página se describe cómo usar Cloud Key Management Service (Cloud KMS) para crear una clave envuelta que puedes usar para enviar solicitudes deidentify y reidentify a la API Cloud Data Loss Prevention de Protección de Datos Sensibles.

El proceso de usar una clave criptográfica para anonimizar y volver a identificar contenido se denomina seudonimización (o tokenización). Para obtener información conceptual sobre este proceso, consulta Pseudonimización.

Para ver un ejemplo de cómo crear una clave envuelta, tokenizar contenido y volver a identificar contenido tokenizado, consulta Desidentificar y volver a identificar texto sensible.

Puedes completar los pasos de este documento en un plazo de entre 5 y 10 minutos, sin incluir los pasos de la sección Antes de empezar.

Antes de empezar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Si vas a usar un proyecto que ya tengas para seguir esta guía, verifica que tienes los permisos necesarios para completarla. Si has creado un proyecto, ya tienes los permisos necesarios.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Si vas a usar un proyecto que ya tengas para seguir esta guía, verifica que tienes los permisos necesarios para completarla. Si has creado un proyecto, ya tienes los permisos necesarios.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Roles obligatorios

Para obtener los permisos que necesitas para crear una clave AES envuelta, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto:

Administrador de Cloud KMS (roles/cloudkms.admin)
Encargado de encriptar CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypter)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear un conjunto de claves y una clave

Antes de iniciar este procedimiento, decide dónde quieres que Protección de Datos Sensibles procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que vayas a usar para tus solicitudes de Protección de Datos Sensibles. De lo contrario, las solicitudes de protección de datos sensibles fallarán.

Puedes consultar la lista de ubicaciones admitidas en Ubicaciones de protección de datos sensibles. Anota el nombre de la región que has elegido (por ejemplo, us-west1).

En este procedimiento se usa global como ubicación para todas las solicitudes de API. Si quieres usar otra región, sustituye global por el nombre de la región.

Crea un conjunto de claves:

gcloud kms keyrings create "dlp-keyring" \
    --location "global"

Para crear una clave, sigue estos pasos:

gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

Muestra tu conjunto de claves y tu clave:

gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

Obtendrá el siguiente resultado:

NAME: projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key
PURPOSE: ENCRYPT_DECRYPT
ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION
PROTECTION_LEVEL: SOFTWARE
LABELS:
PRIMARY_ID: 1
PRIMARY_STATE: ENABLED

En este resultado, PROJECT_ID es el ID de tu proyecto.

El valor de NAME es el nombre de recurso completo de tu clave de Cloud KMS. Anota este valor, ya que es necesario para las solicitudes de anonimización y reidentificación.

Crear una clave AES codificada en base64

En esta sección se describe cómo crear una clave del estándar de cifrado avanzado (AES) y codificarla en formato base64.

Crea una clave AES de 128, 192 o 256 bits. El siguiente comando usa openssl para crear una clave de 256 bits en el directorio actual:
```
openssl rand -out "./aes_key.bin" 32
```
El archivo aes_key.bin se añade al directorio actual.
Codifica la clave AES como una cadena base64:
```
base64 -i ./aes_key.bin
```
Obtendrás un resultado similar al siguiente:
```
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
```
Advertencia: No utilices esta clave de ejemplo para proteger cargas de trabajo sensibles reales. Esta clave se proporciona únicamente a modo de ejemplo. Como se ha compartido aquí, no es seguro usar esta clave.

Encapsula la clave AES con la clave de Cloud KMS

En esta sección se describe cómo usar la clave de Cloud KMS que has creado en Crear un conjunto de claves y una clave para envolver la clave AES codificada en base64 que has creado en Crear una clave AES codificada en base64.

Para envolver la clave AES, usa curl para enviar la siguiente solicitud al método projects.locations.keyRings.cryptoKeys.encrypt de la API de Cloud KMS:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
    --request "POST" \
    --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
    --header "content-type: application/json" \
    --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Haz los cambios siguientes:

PROJECT_ID: el ID de tu proyecto.
BASE64_ENCODED_AES_KEY: la cadena codificada en base64 devuelta en Crear una clave AES codificada en base64.

La respuesta que obtienes de Cloud KMS es similar al siguiente archivo JSON:

{
  "name": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}