Cloud Data Loss Prevention (Cloud DLP) ahora forma parte de Protección de Datos Sensibles. El nombre de la API sigue siendo el mismo: API Cloud Data Loss Prevention (API DLP). Para obtener información sobre los servicios que componen Protección de Datos Sensibles, consulta el artículo Información general sobre Protección de Datos Sensibles.

Esta página se ha traducido con Cloud Translation API.

Desidentificar y reidentificar datos sensibles

En este documento se explica cómo usar Protección de datos sensibles para desidentificar y reidentificar datos sensibles en contenido de texto. Durante el proceso, se te guiará para crear una clave encapsulada con Cloud Key Management Service. Necesitas esta clave en tus solicitudes de anonimización y reidentificación.

El proceso descrito en este documento se denomina seudonimización (o tokenización). En este proceso, Protección de Datos Sensibles usa una clave criptográfica para convertir (desidentificar) el texto sensible en un token. Para restaurar (reidentificar) ese texto, necesitas la clave criptográfica que se usó durante la desidentificación y el token.

Protección de Datos Sensibles admite métodos criptográficos reversibles y no reversibles. Para volver a identificar el contenido, debes elegir un método reversible.

El método criptográfico que se describe aquí se denomina cifrado determinista con AES-SIV (estándar de cifrado avanzado en modo de vector de inicialización sintético). Recomendamos este método porque ofrece el nivel de seguridad más alto de todos los métodos criptográficos reversibles que admite Protección de Datos Sensibles.

Puedes completar los pasos de este documento en un plazo de entre 10 y 20 minutos, sin incluir los pasos de la sección Antes de empezar.

Antes de empezar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Si vas a usar un proyecto que ya tengas para seguir esta guía, verifica que tienes los permisos necesarios para completarla. Si has creado un proyecto, ya tienes los permisos necesarios.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Si vas a usar un proyecto que ya tengas para seguir esta guía, verifica que tienes los permisos necesarios para completarla. Si has creado un proyecto, ya tienes los permisos necesarios.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Roles obligatorios

Para obtener los permisos que necesitas para crear una clave AES envuelta, anonimizar datos sensibles y volver a identificarlos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto:

Administrador de Cloud KMS (roles/cloudkms.admin)
Encargado de encriptar CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypter)
Usuario de DLP (roles/dlp.user)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear un conjunto de claves y una clave

Antes de iniciar este procedimiento, decide dónde quieres que Protección de Datos Sensibles procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que vayas a usar para tus solicitudes de Protección de Datos Sensibles. De lo contrario, las solicitudes de protección de datos sensibles fallarán.

Puedes consultar la lista de ubicaciones admitidas en Ubicaciones de protección de datos sensibles. Anota el nombre de la región que has elegido (por ejemplo, us-west1).

En este procedimiento se usa global como ubicación para todas las solicitudes de API. Si quieres usar otra región, sustituye global por el nombre de la región.

Crea un conjunto de claves:

gcloud kms keyrings create "dlp-keyring" \
    --location "global"

Para crear una clave, sigue estos pasos:

gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

Muestra tu conjunto de claves y tu clave:

gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

Obtendrá el siguiente resultado:

NAME: projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key
PURPOSE: ENCRYPT_DECRYPT
ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION
PROTECTION_LEVEL: SOFTWARE
LABELS:
PRIMARY_ID: 1
PRIMARY_STATE: ENABLED

En este resultado, PROJECT_ID es el ID de tu proyecto.

El valor de NAME es el nombre de recurso completo de tu clave de Cloud KMS. Anota este valor, ya que es necesario para las solicitudes de anonimización y reidentificación.

Crear una clave AES codificada en base64

En esta sección se describe cómo crear una clave del estándar de cifrado avanzado (AES) y codificarla en formato base64.

Crea una clave AES de 128, 192 o 256 bits. El siguiente comando usa openssl para crear una clave de 256 bits en el directorio actual:
```
openssl rand -out "./aes_key.bin" 32
```
El archivo aes_key.bin se añade al directorio actual.
Codifica la clave AES como una cadena base64:
```
base64 -i ./aes_key.bin
```
Obtendrás un resultado similar al siguiente:
```
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
```
Advertencia: No utilices esta clave de ejemplo para proteger cargas de trabajo sensibles reales. Esta clave se proporciona únicamente a modo de ejemplo. Como se ha compartido aquí, no es seguro usar esta clave.

Encapsula la clave AES con la clave de Cloud KMS

En esta sección se describe cómo usar la clave de Cloud KMS que has creado en Crear un conjunto de claves y una clave para envolver la clave AES codificada en base64 que has creado en Crear una clave AES codificada en base64.

Para envolver la clave AES, usa curl para enviar la siguiente solicitud al método projects.locations.keyRings.cryptoKeys.encrypt de la API de Cloud KMS:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
    --request "POST" \
    --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
    --header "content-type: application/json" \
    --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Haz los cambios siguientes:

PROJECT_ID: el ID de tu proyecto.
BASE64_ENCODED_AES_KEY: la cadena codificada en base64 devuelta en Crear una clave AES codificada en base64.

La respuesta que obtienes de Cloud KMS es similar al siguiente archivo JSON:

{
  "name": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Anota el valor de ciphertext en la respuesta. Esa es tu clave encapsulada.

Enviar una solicitud de desidentificación a la API DLP

En esta sección se describe cómo desidentificar datos sensibles en contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

El nombre de recurso completo de la clave de Cloud KMS que has creado en Crear un conjunto de claves y una clave.
La clave encapsulada que has creado en Encapsula la clave AES con la clave de Cloud KMS.

Debes guardar la solicitud de ejemplo en un archivo JSON. Si usas Cloud Shell, utiliza el editor de Cloud Shell para crear el archivo. Para iniciar el editor, haz clic en Abrir editor en la barra de herramientas de Cloud Shell.

Para desidentificar datos sensibles en contenido de texto, sigue estos pasos:

Crea un archivo de solicitud JSON llamado deidentify-request.json con el siguiente texto.

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "deidentifyConfig": {
    "infoTypeTransformations": {
      "transformations": [
        {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            }
          ],
          "primitiveTransformation": {
            "cryptoDeterministicConfig": {
              "cryptoKey": {
                "kmsWrapped": {
                  "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                  "wrappedKey": "WRAPPED_KEY"
                }
              },
              "surrogateInfoType": {
                "name": "EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig": {
    "infoTypes": [
      {
        "name": "EMAIL_ADDRESS"
      }
    ]
  }
}

Haz los cambios siguientes:

PROJECT_ID: el ID de tu proyecto.
WRAPPED_KEY: la clave encapsulada que has creado en Encapsula la clave AES con la clave de Cloud KMS.

Asegúrate de que el valor resultante de cryptoKeyName forme el nombre de recurso completo de tu clave de Cloud KMS.

Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.deidentify. Cuando hayas completado esta tarea, prueba con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. También puedes usar el Explorador de APIs de esa página de referencia de la API en Probar este método.

Usa curl para hacer una solicitud projects.locations.content.deidentify:

curl -s \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json" \
    https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:deidentify \
    -d @deidentify-request.json

Sustituye PROJECT_ID por el ID de tu proyecto.

Para transferir un nombre de archivo a curl, usa la opción -d (para datos) y precede el nombre de archivo con el signo @. Este archivo debe estar en el mismo directorio en el que ejecutes el comando curl.

La respuesta que obtienes de Protección de Datos Sensibles es similar al siguiente JSON:

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q."
  },
  "overview": {
    "transformedBytes": "22",
    "transformationSummaries": [
      {
        "infoType": {
          "name": "EMAIL_ADDRESS"
        },
        "transformation": {
          "cryptoDeterministicConfig": {
            "cryptoKey": {
              "kmsWrapped": {
                "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
                "cryptoKeyName": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
              }
            },
            "surrogateInfoType": {
              "name": "EMAIL_ADDRESS_TOKEN"
            }
          }
        },
        "results": [
          {
            "count": "1",
            "code": "SUCCESS"
          }
        ],
        "transformedBytes": "22"
      }
    ]
  }
}

En el campo item, la dirección de correo se sustituye por un token como EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q. Anota el valor del token en la respuesta. Para volver a identificar el contenido anonimizado, debes enviar el token completo en la solicitud de reidentificación.

Enviar una solicitud de reidentificación a la API DLP

En esta sección se describe cómo volver a identificar datos tokenizados en contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

El nombre de recurso completo de la clave de Cloud KMS que has creado en Crear un conjunto de claves y una clave.
La clave encapsulada que has creado en Encapsula la clave AES con la clave de Cloud KMS.
El token que has recibido en Enviar una solicitud de anonimización a la API DLP.

Para volver a identificar el contenido tokenizado, sigue estos pasos:

Crea un archivo de solicitud JSON llamado reidentify-request.json con el siguiente texto.

{
  "reidentifyConfig":{
    "infoTypeTransformations":{
      "transformations":[
        {
          "infoTypes":[
            {
              "name":"EMAIL_ADDRESS_TOKEN"
            }
          ],
          "primitiveTransformation":{
            "cryptoDeterministicConfig":{
              "cryptoKey":{
              "kmsWrapped": {
                "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                "wrappedKey": "WRAPPED_KEY"
              }
            },
              "surrogateInfoType":{
                "name":"EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig":{
    "customInfoTypes":[
      {
        "infoType":{
          "name":"EMAIL_ADDRESS_TOKEN"
        },
        "surrogateType":{

        }
      }
    ]
  },
  "item":{
    "value": "My name is Alicia Abernathy, and my email address is TOKEN."
  }
}

Haz los cambios siguientes:

PROJECT_ID: el ID de tu proyecto.
WRAPPED_KEY: la clave encapsulada que has creado en Encapsula la clave AES con la clave de Cloud KMS.
TOKEN: el token que ha recibido en Enviar una solicitud de anonimización a la API DLP. Por ejemplo, EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q.

Asegúrate de que el valor resultante de cryptoKeyName forme el nombre de recurso completo de tu clave de Cloud KMS.

Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.reidentify. Cuando hayas completado esta tarea, prueba con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. También puedes usar el Explorador de APIs en esa página de referencia de la API, en Probar este método.

Usa curl para hacer una solicitud projects.locations.content.reidentify:

curl -s \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json" \
    https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:reidentify \
    -d @reidentify-request.json

Sustituye PROJECT_ID por el ID de tu proyecto.

La respuesta que obtienes de Protección de Datos Sensibles es similar al siguiente JSON:

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "overview": {
    "transformedBytes": "70",
    "transformationSummaries": [
      {
        "infoType": {
          "name": "EMAIL_ADDRESS"
        },
        "transformation": {
          "cryptoDeterministicConfig": {
            "cryptoKey": {
              "kmsWrapped": {
                "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
                "cryptoKeyName": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
              }
            },
            "surrogateInfoType": {
              "name": "EMAIL_ADDRESS_TOKEN"
            }
          }
        },
        "results": [
          {
            "count": "1",
            "code": "SUCCESS"
          }
        ],
        "transformedBytes": "70"
      }
    ]
  }
}

En el campo item, el token de dirección de correo se sustituye por la dirección de correo real del texto original.

Ahora has desidentificado y reidentificado datos sensibles en contenido de texto mediante cifrado determinista.

Limpieza

Para evitar que se apliquen cargos en tu Google Cloud cuenta por los recursos utilizados en esta página, elimina el Google Cloud proyecto con los recursos.

Eliminar la versión de clave

Si ya no quieres usar la clave que has creado en esta tarea, elimina su versión.

Lista las versiones disponibles de tu clave:

gcloud kms keys versions list \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Para eliminar una versión, ejecuta el siguiente comando:

gcloud kms keys versions destroy KEY_VERSION \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Sustituye KEY_VERSION por el número de la versión que se va a eliminar (por ejemplo, 1).

Eliminar el proyecto

Si has creado un proyecto para esta tarea, la forma más sencilla de evitar que se te cobren cargos adicionales es eliminarlo.

Precaución: Eliminar un proyecto tiene los siguientes efectos:

Se elimina todo el contenido del proyecto. Si has usado un proyecto que ya existía para las tareas de este documento, cuando lo elimines, también se eliminará cualquier otro trabajo que hayas realizado en él.
Se pierden los IDs de proyecto personalizados. Cuando creaste este proyecto, es posible que hayas creado un ID de proyecto personalizado que quieras usar en el futuro. Para conservar las URLs que usan el ID del proyecto, como una URL appspot.com, elimina los recursos seleccionados dentro del proyecto en lugar de eliminar todo el proyecto.

Si tienes previsto consultar varias arquitecturas, tutoriales o guías de inicio rápido, reutilizar los proyectos puede ayudarte a no superar los límites de cuota de proyectos.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Revocar tus credenciales

Optional: Revoke credentials from the gcloud CLI.

gcloud auth revoke

Siguientes pasos

Para obtener más información sobre cómo desidentificar contenido sensible, consulta Desidentificar datos sensibles.
Para obtener información sobre cómo se adapta un flujo de trabajo de desidentificación a las implementaciones reales, consulta Desidentificar y reidentificar la IPI de conjuntos de datos a gran escala con Protección de Datos Sensibles.
Para obtener información conceptual sobre la tokenización de datos con una clave criptográfica, consulta Seudonimización.