Cloud Data Loss Prevention (Cloud DLP) ahora es parte de Sensitive Data Protection. El nombre de la API sigue siendo el mismo: API de Cloud Data Loss Prevention (API de DLP). Para obtener información sobre los servicios que conforman la protección de datos sensibles, consulta la descripción general de la protección de datos sensibles.

Se usó la API de Cloud Translation para traducir esta página.

Desidentifica y reidentifica datos sensibles

En este documento, se muestra cómo usar Sensitive Data Protection para desidentificar y reidentificar datos sensibles en contenido de texto. En el proceso, se te guía para crear una clave unida con Cloud Key Management Service. Necesitas esta clave en tus solicitudes de desidentificación y reidentificación.

El proceso que se describe en este documento se denomina seudonimización (o asignación de token). En este proceso, Sensitive Data Protection usa una clave criptográfica para convertir (desidentificar) texto sensible en un token. Para restablecer (reidentificar) ese texto, necesitas la clave criptográfica que se usó durante la desidentificación y el token.

Sensitive Data Protection admite métodos criptográficos reversibles y no reversibles. Para volver a identificar el contenido, debes elegir un método reversible.

El método criptográfico que se describe aquí se llama encriptación determinista con AES-SIV (estándar de encriptación avanzada en modo de vector de inicialización sintético). Recomendamos este método porque proporciona el nivel más alto de seguridad entre todos los métodos criptográficos reversibles que la Protección de datos sensibles admite.

Puedes completar los pasos de este documento en 10 a 20 minutos, sin incluir los pasos de Antes de comenzar.

Antes de comenzar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes Acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Si usas un proyecto existente para esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes Acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Si usas un proyecto existente para esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Roles obligatorios

Para obtener los permisos que necesitas para crear una clave AES encapsulada, anonimizar datos sensibles y volver a identificarlos, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

Administrador de Cloud KMS (roles/cloudkms.admin)
Encriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypter)
Usuario de DLP (roles/dlp.user)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea un llavero de claves y una clave

Antes de comenzar con este procedimiento, decide dónde deseas que Sensitive Data Protection procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que usarás para tus solicitudes de Protección de datos sensibles. De lo contrario, fallarán las solicitudes de Sensitive Data Protection.

Puedes encontrar una lista de las ubicaciones compatibles en Ubicaciones de Sensitive Data Protection. Anota el nombre de la región que elegiste (por ejemplo, us-west1).

En este procedimiento, se usa global como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global por el nombre de la región.

Crea un llavero de claves

gcloud kms keyrings create "dlp-keyring" \
    --location "global"

Crea una clave:

gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

Enumera el llavero de claves y la clave:

gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

Obtendrás el siguiente resultado:

NAME: projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key
PURPOSE: ENCRYPT_DECRYPT
ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION
PROTECTION_LEVEL: SOFTWARE
LABELS:
PRIMARY_ID: 1
PRIMARY_STATE: ENABLED

En este resultado, PROJECT_ID es el ID de tu proyecto.

El valor de NAME es el nombre completo del recurso de tu clave de Cloud KMS. Anota este valor, ya que las solicitudes de desidentificación y reidentificación lo requieren.

Crea una clave AES codificada en Base64

En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.

Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza openssl para crear una clave de 256 bits en el directorio actual:
```
openssl rand -out "./aes_key.bin" 32
```
El archivo aes_key.bin se agrega a tu directorio actual.
Codifica la clave AES como una string de base64:
```
base64 -i ./aes_key.bin
```
Obtendrás un resultado similar al siguiente:
```
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
```
Advertencia: No uses esta clave de ejemplo para proteger las cargas de trabajo sensibles reales. Esta clave se proporciona solo a modo de ejemplo. Dado que se comparte aquí, no es seguro utilizarla.

Une la clave AES con la clave de Cloud KMS

En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en Crea un llavero de claves y una clave para unir la clave AES codificada en base64 que creaste en Crea una clave AES codificada en base64.

Para unir la clave AES, usa curl para enviar la siguiente solicitud al método de la API de Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
    --request "POST" \
    --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
    --header "content-type: application/json" \
    --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Reemplaza lo siguiente:

PROJECT_ID: es el ID de tu proyecto.
BASE64_ENCODED_AES_KEY: La cadena codificada en base64 que se devolvió en Crea una clave AES codificada en base64.

La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:

{
  "name": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Ten en cuenta el valor de ciphertext en la respuesta. Esa es tu clave unida.

Envía una solicitud de seudoanonimización a la API de DLP

En esta sección, se describe cómo desidentificar datos sensibles en contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

Es el nombre completo del recurso de la clave de Cloud KMS que creaste en Crea un llavero de claves y una clave.
Es la clave unida que creaste en Une la clave AES con la clave de Cloud KMS.

Debes guardar la solicitud de muestra en un archivo JSON. Si usas Cloud Shell, usa el editor de Cloud Shell para crear el archivo. Para iniciar el editor, haz clic en Abrir editor en la barra de herramientas de Cloud Shell.

Para desidentificar datos sensibles en contenido de texto, sigue estos pasos:

Crea un archivo de solicitud JSON llamado deidentify-request.json con el siguiente texto.

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "deidentifyConfig": {
    "infoTypeTransformations": {
      "transformations": [
        {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            }
          ],
          "primitiveTransformation": {
            "cryptoDeterministicConfig": {
              "cryptoKey": {
                "kmsWrapped": {
                  "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                  "wrappedKey": "WRAPPED_KEY"
                }
              },
              "surrogateInfoType": {
                "name": "EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig": {
    "infoTypes": [
      {
        "name": "EMAIL_ADDRESS"
      }
    ]
  }
}

Reemplaza lo siguiente:

PROJECT_ID: el ID de tu proyecto.
WRAPPED_KEY: Es la clave unida que creaste en Une la clave AES con la clave de Cloud KMS.

Asegúrate de que el valor resultante de cryptoKeyName forma el nombre completo del recurso de tu clave de Cloud KMS.

Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.deidentify. Después de completar esta tarea, experimenta con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. También puedes usar el Explorador de API en esa página de referencia de la API en Prueba este método.

Usa curl para realizar una solicitud projects.locations.content.deidentify:

curl -s \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json" \
    https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:deidentify \
    -d @deidentify-request.json

Reemplaza PROJECT_ID por el ID de tu proyecto.

Para pasar un nombre de archivo a curl, usa la opción -d (para datos) y antepón un signo @ al nombre del archivo. Este archivo debe estar en el mismo directorio en el que ejecutas el comando curl.

La respuesta que obtienes de Protección de datos sensibles es similar al siguiente código JSON:

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q."
  },
  "overview": {
    "transformedBytes": "22",
    "transformationSummaries": [
      {
        "infoType": {
          "name": "EMAIL_ADDRESS"
        },
        "transformation": {
          "cryptoDeterministicConfig": {
            "cryptoKey": {
              "kmsWrapped": {
                "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
                "cryptoKeyName": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
              }
            },
            "surrogateInfoType": {
              "name": "EMAIL_ADDRESS_TOKEN"
            }
          }
        },
        "results": [
          {
            "count": "1",
            "code": "SUCCESS"
          }
        ],
        "transformedBytes": "22"
      }
    ]
  }
}

En el campo item, la dirección de correo electrónico se reemplaza por un token como EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q. Ten en cuenta el valor del token en la respuesta. Para volver a identificar el contenido anonimizado, debes pasar el token completo en la solicitud de reidentificación.

Envía una solicitud de reidentificación a la API de DLP

En esta sección, se describe cómo volver a identificar los datos tokenizados en el contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

Es el nombre completo del recurso de la clave de Cloud KMS que creaste en Crea un llavero de claves y una clave.
Es la clave unida que creaste en Une la clave AES con la clave de Cloud KMS.
Es el token que recibiste en Envía una solicitud de desidentificación a la API de DLP.

Para volver a identificar el contenido tokenizado, sigue estos pasos:

Crea un archivo de solicitud JSON llamado reidentify-request.json con el siguiente texto.

{
  "reidentifyConfig":{
    "infoTypeTransformations":{
      "transformations":[
        {
          "infoTypes":[
            {
              "name":"EMAIL_ADDRESS_TOKEN"
            }
          ],
          "primitiveTransformation":{
            "cryptoDeterministicConfig":{
              "cryptoKey":{
              "kmsWrapped": {
                "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                "wrappedKey": "WRAPPED_KEY"
              }
            },
              "surrogateInfoType":{
                "name":"EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig":{
    "customInfoTypes":[
      {
        "infoType":{
          "name":"EMAIL_ADDRESS_TOKEN"
        },
        "surrogateType":{

        }
      }
    ]
  },
  "item":{
    "value": "My name is Alicia Abernathy, and my email address is TOKEN."
  }
}

Reemplaza lo siguiente:

PROJECT_ID: el ID de tu proyecto.
WRAPPED_KEY: Es la clave unida que creaste en Une la clave AES con la clave de Cloud KMS.
TOKEN: Es el token que recibiste en Envía una solicitud de seudoanonimización a la API de DLP, por ejemplo, EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q.

Asegúrate de que el valor resultante de cryptoKeyName forma el nombre completo del recurso de tu clave de Cloud KMS.

Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.reidentify. Después de completar esta tarea, experimenta con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. También puedes usar el Explorador de API en esa página de referencia de la API en Probar este método.

Usa curl para realizar una solicitud projects.locations.content.reidentify:

curl -s \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json" \
    https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:reidentify \
    -d @reidentify-request.json

Reemplaza PROJECT_ID por el ID de tu proyecto.

La respuesta que obtienes de Protección de datos sensibles es similar al siguiente código JSON:

{
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "overview": {
    "transformedBytes": "70",
    "transformationSummaries": [
      {
        "infoType": {
          "name": "EMAIL_ADDRESS"
        },
        "transformation": {
          "cryptoDeterministicConfig": {
            "cryptoKey": {
              "kmsWrapped": {
                "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
                "cryptoKeyName": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
              }
            },
            "surrogateInfoType": {
              "name": "EMAIL_ADDRESS_TOKEN"
            }
          }
        },
        "results": [
          {
            "count": "1",
            "code": "SUCCESS"
          }
        ],
        "transformedBytes": "70"
      }
    ]
  }
}

En el campo item, el token de dirección de correo electrónico se reemplaza por la dirección de correo electrónico real del texto original.

Ahora desidentificaste y reidentificaste datos sensibles en contenido de texto con encriptación determinística.

Realiza una limpieza

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página, borra el proyecto de Google Cloud que tiene los recursos.

Destruye tu versión de clave

Si ya no quieres usar la clave que creaste en esta tarea, destruye su versión.

Crea una lista de versiones disponibles para tu clave:

gcloud kms keys versions list \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Para destruir una versión, ejecuta el siguiente comando:

gcloud kms keys versions destroy KEY_VERSION \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Reemplaza KEY_VERSION por el número de la versión que se destruirá, por ejemplo, 1.

Borra el proyecto

Si creaste un proyecto nuevo para esta tarea, la forma más sencilla de evitar cargos adicionales es borrarlo.

Precaución: Borrar un proyecto tiene las siguientes consecuencias:

Se borra todo el contenido. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los IDs personalizados de los proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID personalizado del proyecto que desees utilizar en el futuro. Para conservar las URLs que usan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto, en lugar de todo el proyecto.

Si planeas explorar varios instructivos, arquitecturas o guías de inicio rápido, reutilizar proyectos puede ser útil para no exceder los límites de cuota de los proyectos.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Revoca tus credenciales

Optional: Revoke credentials from the gcloud CLI.

gcloud auth revoke

¿Qué sigue?

Para obtener más información sobre la desidentificación de contenido sensible, consulta Desidentificación de datos sensibles.
Para obtener información sobre cómo un flujo de trabajo de desidentificación se adapta a las implementaciones de la vida real, consulta Desidentificación y reidentificación de PII en conjuntos de datos a gran escala con Sensitive Data Protection.
Para obtener información conceptual sobre la asignación de token a los datos con una clave criptográfica, consulta Seudonimización.