Desidentifica y reidentifica datos sensibles

En este documento, se muestra cómo usar Sensitive Data Protection para desidentificar y reidentificar datos sensibles en contenido de texto. En el proceso, se te guía para crear una clave unida con Cloud Key Management Service. Necesitas esta clave en tus solicitudes de desidentificación y reidentificación.

El proceso que se describe en este documento se denomina seudonimización (o asignación de token). En este proceso, Sensitive Data Protection usa una clave criptográfica para convertir (desidentificar) texto sensible en un token. Para restablecer (reidentificar) ese texto, necesitas la clave criptográfica que se usó durante la desidentificación y el token.

Sensitive Data Protection admite métodos criptográficos reversibles y no reversibles. Para volver a identificar el contenido, debes elegir un método reversible.

El método criptográfico que se describe aquí se llama encriptación determinista con AES-SIV (estándar de encriptación avanzada en modo de vector de inicialización sintético). Recomendamos este método porque proporciona el nivel más alto de seguridad entre todos los métodos criptográficos reversibles que admite la Protección de datos sensibles.

Puedes completar los pasos de este documento en 10 a 20 minutos, sin incluir los pasos de Antes de comenzar.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. Instala Google Cloud CLI.

  3. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

  4. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  5. Crea o selecciona un Google Cloud proyecto.

    Roles necesarios para seleccionar o crear un proyecto

    • Selecciona un proyecto: Para seleccionar un proyecto, no se requiere un rol de IAM específico. Puedes seleccionar cualquier proyecto en el que se te haya otorgado un rol.
    • Crear un proyecto: Para crear un proyecto, necesitas el rol de Creador de proyectos (roles/resourcemanager.projectCreator), que contiene el permiso resourcemanager.projects.create. Obtén más información para otorgar roles.

    • Crea un proyecto de Google Cloud :

      gcloud projects create PROJECT_ID

      Reemplaza PROJECT_ID por un nombre para el proyecto Google Cloud que estás creando.

    • Selecciona el proyecto Google Cloud que creaste:

      gcloud config set project PROJECT_ID

      Reemplaza PROJECT_ID por el nombre de tu Google Cloud proyecto.

  6. Si usas un proyecto existente en esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

  7. Verifica que la facturación esté habilitada para tu proyecto de Google Cloud .

  8. Habilita las APIs de Sensitive Data Protection y Cloud KMS:

    Roles necesarios para habilitar las APIs

    Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles. 

    gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

  9. Instala Google Cloud CLI.

  10. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

  11. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  12. Crea o selecciona un Google Cloud proyecto.

    Roles necesarios para seleccionar o crear un proyecto

    • Selecciona un proyecto: Para seleccionar un proyecto, no se requiere un rol de IAM específico. Puedes seleccionar cualquier proyecto en el que se te haya otorgado un rol.
    • Crear un proyecto: Para crear un proyecto, necesitas el rol de Creador de proyectos (roles/resourcemanager.projectCreator), que contiene el permiso resourcemanager.projects.create. Obtén más información para otorgar roles.

    • Crea un proyecto de Google Cloud :

      gcloud projects create PROJECT_ID

      Reemplaza PROJECT_ID por un nombre para el proyecto Google Cloud que estás creando.

    • Selecciona el proyecto Google Cloud que creaste:

      gcloud config set project PROJECT_ID

      Reemplaza PROJECT_ID por el nombre de tu Google Cloud proyecto.

  13. Si usas un proyecto existente en esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

  14. Verifica que la facturación esté habilitada para tu proyecto de Google Cloud .

  15. Habilita las APIs de Sensitive Data Protection y Cloud KMS:

    Roles necesarios para habilitar las APIs

    Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles. 

    gcloud services enable dlp.googleapis.com cloudkms.googleapis.com
    16.

Roles obligatorios

Para obtener los permisos que necesitas para crear una clave AES encapsulada, anonimizar datos sensibles y volver a identificarlos, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea un llavero de claves y una clave

Antes de comenzar con este procedimiento, decide dónde deseas que Sensitive Data Protection procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que usarás para tus solicitudes de Protección de datos sensibles. De lo contrario, fallarán las solicitudes de Sensitive Data Protection.

Puedes encontrar una lista de las ubicaciones compatibles en Ubicaciones de Sensitive Data Protection. Anota el nombre de la región que elegiste (por ejemplo, us-west1).

En este procedimiento, se usa global como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global por el nombre de la región.

  1. Crea un llavero de claves

    gcloud kms keyrings create "dlp-keyring" \
    --location "global"

  2. Crea una clave:

    gcloud kms keys create "dlp-key" \
    --location "global" \
    --keyring "dlp-keyring" \
    --purpose "encryption"

  3. Enumera el llavero de claves y la clave:

    gcloud kms keys list \
    --location "global" \
    --keyring "dlp-keyring"

    Obtendrás el siguiente resultado:

    NAME: projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key
PURPOSE: ENCRYPT_DECRYPT
ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION
PROTECTION_LEVEL: SOFTWARE
LABELS:
PRIMARY_ID: 1
PRIMARY_STATE: ENABLED

    En este resultado, PROJECT_ID es el ID de tu proyecto.

    El valor de NAME es el nombre completo del recurso de tu clave de Cloud KMS. Anota este valor, ya que las solicitudes de desidentificación y reidentificación lo requieren.

Crea una clave AES codificada en Base64

En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.

  1. Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza openssl para crear una clave de 256 bits en el directorio actual:

    openssl rand -out "./aes_key.bin" 32

    El archivo aes_key.bin se agrega a tu directorio actual.

  2. Codifica la clave AES como una string de base64:

    base64 -i ./aes_key.bin

    Obtendrás un resultado similar al siguiente:

    uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=

Une la clave AES con la clave de Cloud KMS

En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en Crea un llavero de claves y una clave para unir la clave AES codificada en base64 que creaste en Crea una clave AES codificada en base64.

Para unir la clave AES, usa curl para enviar la siguiente solicitud al método projects.locations.keyRings.cryptoKeys.encrypt de la API de Cloud KMS:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
    --request "POST" \
    --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
    --header "content-type: application/json" \
    --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Reemplaza lo siguiente:

La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:

{
  "name": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Ten en cuenta el valor de ciphertext en la respuesta. Esa es tu clave unida.

Envía una solicitud de seudoanonimización a la API de DLP

En esta sección, se describe cómo desidentificar datos sensibles en contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

Debes guardar la solicitud de muestra en un archivo JSON. Si usas Cloud Shell, usa el editor de Cloud Shell para crear el archivo. Para iniciar el editor, haz clic en Abrir editor en la barra de herramientas de Cloud Shell.

Para desidentificar datos sensibles en contenido de texto, sigue estos pasos:

  1. Crea un archivo de solicitud JSON llamado deidentify-request.json con el siguiente texto.

    {
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "deidentifyConfig": {
    "infoTypeTransformations": {
      "transformations": [
        {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            }
          ],
          "primitiveTransformation": {
            "cryptoDeterministicConfig": {
              "cryptoKey": {
                "kmsWrapped": {
                  "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                  "wrappedKey": "WRAPPED_KEY"
                }
              },
              "surrogateInfoType": {
                "name": "EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig": {
    "infoTypes": [
      {
        "name": "EMAIL_ADDRESS"
      }
    ]
  }
}

    Reemplaza lo siguiente:

    Asegúrate de que el valor resultante de cryptoKeyName forma el nombre completo del recurso de tu clave de Cloud KMS.

    Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.deidentify. Después de completar esta tarea, experimenta con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. También puedes usar el Explorador de API en esa página de referencia de la API en Prueba este método.

  2. Usa curl para realizar una solicitud projects.locations.content.deidentify:

    curl -s \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json" \
    https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:deidentify \
    -d @deidentify-request.json

    Reemplaza PROJECT_ID por el ID de tu proyecto.

    Para pasar un nombre de archivo a curl, usa la opción -d (para datos) y antepón un signo @ al nombre del archivo. Este archivo debe estar en el mismo directorio en el que ejecutas el comando curl.

    La respuesta que obtienes de Protección de datos sensibles es similar al siguiente código JSON:

    {
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q."
  },
  "overview": {
    "transformedBytes": "22",
    "transformationSummaries": [
      {
        "infoType": {
          "name": "EMAIL_ADDRESS"
        },
        "transformation": {
          "cryptoDeterministicConfig": {
            "cryptoKey": {
              "kmsWrapped": {
                "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
                "cryptoKeyName": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
              }
            },
            "surrogateInfoType": {
              "name": "EMAIL_ADDRESS_TOKEN"
            }
          }
        },
        "results": [
          {
            "count": "1",
            "code": "SUCCESS"
          }
        ],
        "transformedBytes": "22"
      }
    ]
  }
}

    En el campo item, la dirección de correo electrónico se reemplaza por un token como EMAIL_ADDRESS_TOKEN(52):AVAx2eIEnIQP5jbNEr2j9wLOAd5m4kpSBR/0jjjGdAOmryzZbE/q. Ten en cuenta el valor del token en la respuesta. Para volver a identificar el contenido anonimizado, debes pasar el token completo en la solicitud de reidentificación.

Envía una solicitud de reidentificación a la API de DLP

En esta sección, se describe cómo volver a identificar los datos tokenizados en el contenido de texto.

Para completar esta tarea, necesitas lo siguiente:

Para volver a identificar el contenido tokenizado, sigue estos pasos:

  1. Crea un archivo de solicitud JSON llamado reidentify-request.json con el siguiente texto.

    {
  "reidentifyConfig":{
    "infoTypeTransformations":{
      "transformations":[
        {
          "infoTypes":[
            {
              "name":"EMAIL_ADDRESS_TOKEN"
            }
          ],
          "primitiveTransformation":{
            "cryptoDeterministicConfig":{
              "cryptoKey":{
              "kmsWrapped": {
                "cryptoKeyName": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key",
                "wrappedKey": "WRAPPED_KEY"
              }
            },
              "surrogateInfoType":{
                "name":"EMAIL_ADDRESS_TOKEN"
              }
            }
          }
        }
      ]
    }
  },
  "inspectConfig":{
    "customInfoTypes":[
      {
        "infoType":{
          "name":"EMAIL_ADDRESS_TOKEN"
        },
        "surrogateType":{

        }
      }
    ]
  },
  "item":{
    "value": "My name is Alicia Abernathy, and my email address is TOKEN."
  }
}

    Reemplaza lo siguiente:

    Asegúrate de que el valor resultante de cryptoKeyName forma el nombre completo del recurso de tu clave de Cloud KMS.

    Para obtener más información sobre los componentes de esta solicitud JSON, consulta projects.locations.content.reidentify. Después de completar esta tarea, experimenta con diferentes entradas para esta solicitud. Puedes usar curl como se describe aquí. También puedes usar el Explorador de API en esa página de referencia de la API en Probar este método.

  2. Usa curl para realizar una solicitud projects.locations.content.reidentify:

    curl -s \
    -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
    -H "Content-Type: application/json" \
    https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/global/content:reidentify \
    -d @reidentify-request.json

    Reemplaza PROJECT_ID por el ID de tu proyecto.

    Para pasar un nombre de archivo a curl, usa la opción -d (para datos) y antepón un signo @ al nombre del archivo. Este archivo debe estar en el mismo directorio en el que ejecutas el comando curl.

    La respuesta que obtienes de Protección de datos sensibles es similar al siguiente código JSON:

    {
  "item": {
    "value": "My name is Alicia Abernathy, and my email address is aabernathy@example.com."
  },
  "overview": {
    "transformedBytes": "70",
    "transformationSummaries": [
      {
        "infoType": {
          "name": "EMAIL_ADDRESS"
        },
        "transformation": {
          "cryptoDeterministicConfig": {
            "cryptoKey": {
              "kmsWrapped": {
                "wrappedKey": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
                "cryptoKeyName": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key"
              }
            },
            "surrogateInfoType": {
              "name": "EMAIL_ADDRESS_TOKEN"
            }
          }
        },
        "results": [
          {
            "count": "1",
            "code": "SUCCESS"
          }
        ],
        "transformedBytes": "70"
      }
    ]
  }
}

    En el campo item, el token de dirección de correo electrónico se reemplaza por la dirección de correo electrónico real del texto original.

    Ahora desidentificaste y reidentificaste datos sensibles en contenido de texto con encriptación determinística.

Realiza una limpieza

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta página, borra el proyecto de Google Cloud que tiene los recursos.

Destruye tu versión de clave

Si ya no quieres usar la clave que creaste en esta tarea, destruye su versión.

Crea una lista de versiones disponibles para tu clave:

gcloud kms keys versions list \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Para destruir una versión, ejecuta el siguiente comando:

gcloud kms keys versions destroy KEY_VERSION \
    --location "global" \
    --keyring "dlp-keyring" \
    --key "dlp-key"

Reemplaza KEY_VERSION por el número de la versión que se destruirá, por ejemplo, 1.

Borra el proyecto

Si creaste un proyecto nuevo para esta tarea, la forma más sencilla de evitar cargos adicionales es borrarlo.

    Borra un Google Cloud proyecto:

    gcloud projects delete PROJECT_ID

Revoca tus credenciales

Opcional: Revoca credenciales desde gcloud CLI. 

gcloud auth revoke

¿Qué sigue?