Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
- On the top left of your screen, click Start lab to begin
Checkpoints
Setup Cloud Storage bucket
/ 15
Add Cloud Data Fusion API Service Agent role to service account
/ 15
Get Sensitive Data Protection permissions
/ 15
Create a custom template
/ 20
Redact another data type
/ 15
Deploy and run the pipeline
/ 20
Lab setup instructions and requirements
Protect your account and progress. Always use a private browser window and lab credentials to run this lab.
在 Cloud Data Fusion 管道中遮蓋機密資料
Lab instructions and tasks
This content is not yet optimized for mobile devices.
For the best experience, please visit us on a desktop computer using a link sent by email.
GSP811
總覽
本實驗室將說明如何使用 Cloud Fusion 的 Sensitive Data Protection 外掛程式,遮蓋敏感資料。
假設您在以下情境中,需要遮蓋一些敏感的客戶資訊。
情境:對於每個經手的客服案件,支援團隊都在支援單中記錄了詳細資料,且這些資訊全都會匯入 CSV 檔案。支援技術人員不應記錄任何敏感的客戶資訊,但有時會不小心這麼做。您發現 CSV 檔案中出現部分客戶的電話號碼。
您想檢查 CSV 檔案並隱藏所有電話號碼,於是使用 Sensitive Data Protection 外掛程式,建立 Cloud Data Fusion 管道來遮蓋敏感的客戶資料。
您將建立管道,用於下列作業:
- 以 # 字元遮蓋客戶電話號碼和電子郵件地址。
- 將遮蓋好的敏感資料,與非敏感資料一起儲存至 Cloud Storage。
目標
本實驗室將說明如何執行下列操作:
- 將 Cloud Data Fusion 連結至 Cloud Storage 來源。
- 部署 Sensitive Data Protection 外掛程式。
- 建立自訂 Sensitive Data Protection 範本。
- 使用遮蓋轉換外掛程式,遮蓋敏感的客戶資料。
- 將輸出資料寫入 Cloud Storage。
設定和需求
每個實驗室都會提供新的 Google Cloud 專案和一組資源,讓您在時限內免費使用。
-
請以無痕視窗登入 Google Skills。
-
請記下實驗室時間限制 (例如 02:00:00),務必在時限內完成作業。
研究室不提供暫停功能。如有需要,您可以重新開始,但原先的進度恕無法保留。 -
準備就緒之後,請點選「Start Lab」。
注意事項:點選「Start Lab」之後,研究室需要 15 至 20 分鐘來佈建必要資源,並建立 Data Fusion 執行個體。 在此期間,不妨詳閱下方步驟,瞭解研究室的目標。 執行個體建立完畢之後,左側面板會顯示研究室憑證 (使用者名稱和密碼),此時即可繼續登入控制台。 -
請記下研究室憑證 (使用者名稱和密碼),登入 Google Cloud 控制台時會用到。
-
點選「Open Google console」。
-
點選「Use another account」,然後複製這個研究室的憑證,並貼到提示中。
如果使用其他憑證,系統會顯示錯誤或向您收取費用。 -
接受條款,然後略過資源復原頁面。
登入 Google Cloud 控制台
- 在用來進行本實驗室活動的瀏覽器分頁或視窗,複製「Connection Details」面板中的使用者名稱,然後點選「Open Google Console」按鈕。
- 按照系統提示,依序貼上使用者名稱和密碼。
- 點選「Next」。
- 接受條款及細則。
這個臨時帳戶只在實驗室期間有效,使用時務必遵守下列規定:
- 請勿新增救援選項
- 請勿申請免費試用
- 開啟主控台後,點選畫面左上方的「導覽選單」圖示
,即可查看服務清單。
啟用 Cloud Shell
Cloud Shell 是含有多項開發工具的虛擬機器,提供永久的 5 GB 主目錄,並在 Google Cloud 中運作。Cloud Shell 可讓您透過指令列存取 Google Cloud 資源。gcloud 是 Google Cloud 的指令列工具,已預先安裝於 Cloud Shell,並支援 Tab 鍵完成功能。
-
在控制台的右上方,點按「啟用 Cloud Shell」按鈕
。
-
點按「繼續」。
請稍候片刻,等待系統完成佈建作業並連線至環境。連線建立後,即代表您已通過驗證,且專案已設為「PROJECT_ID」。
指令範例
- 列出目前使用的帳戶名稱:
輸出內容
輸出內容範例
- 列出專案 ID:
輸出內容
輸出內容範例
檢查專案權限
開始使用 Google Cloud 前,請務必確保專案在 Identity and Access Management (IAM) 中具備正確的權限。
-
前往 Google Cloud 控制台的「導覽選單」
-
確認具有預設的運算服務帳戶
{project-number}-compute@developer.gserviceaccount.com,且已指派editor角色。帳戶前置字串為專案編號,如需查看,請前往「導覽選單」>「Cloud 總覽」。
如果帳戶未顯示在 IAM 中,或沒有 editor 角色,請依照下列步驟指派必要角色。
-
前往 Google Cloud 控制台,依序點選「導覽選單」>「Cloud 總覽」。
-
從「專案資訊」資訊卡複製「專案編號」。
-
從「導覽選單」依序點選「IAM 與管理」>「身分與存取權管理」。
-
點選「身分與存取權管理」頁面頂端的「新增」。
-
在「新增主體」輸入:
將 {project-number} 換成您的專案編號。
-
從「請選擇角色」選單依序選取「基本」或「專案」>「編輯者」。
-
點選「儲存」。
工作 1:設定 Cloud Storage bucket
您將在專案中建立 Cloud Storage bucket,供管道儲存輸出資料。
-
在 Cloud Shell 執行以下指令,建立新的 bucket:
export BUCKET=$GOOGLE_CLOUD_PROJECT gcloud storage buckets create gs://$BUCKET
新建立的 bucket 名稱會與專案 ID 相同。
點選「Check my progress」,確認目標已達成。
工作 2:新增 Cloud Data Fusion 執行個體的必要權限
- 前往 Google Cloud 控制台,在標題列的「搜尋」欄位輸入「Data Fusion」,然後點選搜尋結果中的「Data Fusion」。您應會看到已設定完成,且可供使用的 Cloud Data Fusion 執行個體。
接著請按照下列步驟,授予權限給與執行個體相關聯的服務帳戶。
-
前往 Google Cloud 控制台,依序點選「IAM 與管理」>「身分與存取權管理」。
-
確認 Compute Engine 預設服務帳戶
{project-number}-compute@developer.gserviceaccount.com確實存在,並將這個服務帳戶複製到剪貼簿。 -
在「IAM 權限」頁面,按一下「+ 授予存取權」。
-
在「新增主體」欄位貼上服務帳戶。
-
按一下「選取角色」欄位,開始輸入並選取「Cloud Data Fusion API 服務代理」。
-
按一下「儲存」。
點選「Check my progress」,確認目標已達成。
授予服務帳戶使用者權限
-
前往控制台,依序點選「導覽選單」圖示 >「IAM 與管理」>「身分與存取權管理」。
-
勾選「包含 Google 提供的角色授予項目」核取方塊。
-
向下捲動清單,找到 Google 代管的 Cloud Data Fusion 服務帳戶 (格式為
service-{project-number}@gcp-sa-datafusion.iam.gserviceaccount.com),然後將該帳戶的名稱複製到剪貼簿。
-
接著,依序點選「IAM 與管理」>「服務帳戶」。
-
點選預設的 Compute Engine 帳戶 (格式為
{project-number}-compute@developer.gserviceaccount.com),然後選取頂端導覽面板中的「具備存取權的主體」分頁標籤。 -
點選「授予存取權」按鈕。
-
在「新增主體」欄位,貼上先前複製的服務帳戶名稱。
-
在「角色」下拉式選單,選取「服務帳戶使用者」。
-
點選「儲存」。
工作 3:取得 Sensitive Data Protection 權限
-
前往 Cloud 控制台,依序點選「導覽選單」>「身分與存取權管理」。
-
在「權限」資料表的右上角,找出並點選「Include Google-provided role grants」核取方塊。
- 在「權限」資料表的「主體」欄,找出符合下列格式的服務帳戶:
service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com。
-
點選服務帳戶右側的「編輯」按鈕。
-
按一下「新增其他角色」。
-
按一下隨即顯示的下拉式選單。
-
使用搜尋列搜尋並選取「DLP 管理員」。
-
按一下「儲存」。
-
確認「角色」欄中顯示「DLP 管理員」。
點選「Check my progress」,確認目標已達成。
工作 4:前往 Cloud Data Fusion UI
-
前往「Data Fusion」,依序點選「執行個體」,以及 Data Fusion 執行個體旁的「查看執行個體」連結。如有需要,請使用實驗室憑證登入。如果出現服務導覽的提示,請點選「不用了,謝謝」。現在應會進入 Cloud Data Fusion UI。
-
在 Cloud Data Fusion UI 中,按一下左上角的「導覽選單」,然後前往「Studio」頁面。 接下來將建立管道。
工作 5:建立管道
接下來建構的管道會執行下列作業: * 使用 Cloud Storage 來源外掛程式讀取輸入資料。 * 從中樞部署 Sensitive Data Protection 外掛程式,並套用遮蓋轉換外掛程式。 * 使用 Cloud Storage 接收器外掛程式寫入輸出資料。
- 在「Studio」頁面的左側面板中,按一下「來源」選單下方的「Google Cloud Storage (GCS)」外掛程式。
-
將游標懸停在顯示的「GCS」節點上,然後點選「屬性」。
-
在「參照名稱」部分,輸入參照名稱。
-
本實驗室使用公開 Cloud Storage bucket 提供的輸入資料集 SampleRecords.csv。在「路徑」下方,輸入
gs://cloud-training/OCBL167/SampleRecords.csv -
在「格式」部分,選取「CSV」。
-
在「輸出內容的結構定義」的「欄位名稱」下方,點選「+」按鈕,為各資料類型輸入下列內容。請移除所有現有的資料類型 (如有)。
- Date
- Bank
- State
- Zip
- Notes
-
確認所有資料類型都是「字串」。如要變更類型,請按一下「類型」,然後從下拉式選單中選取「字串」。
-
勾選各資料類型的核取方塊。這樣可確保管道遇到空值時不會執行失敗。
-
點選「驗證」,確保沒有錯誤。
-
點選對話方塊右上角的「X」按鈕。
工作 6:遮蓋敏感資料
遮蓋轉換外掛程式會找出輸入資料串流中的敏感記錄,並對這些記錄套用您定義的轉換。如果資料記錄符合所選的預設 Sensitive Data Protection 篩選器,或是您定義的自訂範本,即視為敏感資料。
在本實驗室中,您要遮蓋團隊中部分支援技術人員不小心記下的客戶電話號碼。他們在支援單的「附註」部分輸入了敏感資訊,這些資訊會顯示在 CSV 檔案的「Notes」欄。您將建立自訂的 Sensitive Data Protection 檢查範本,然後在遮蓋轉換外掛程式的屬性選單中,提供範本 ID。
工作 7:部署 Sensitive Data Protection 外掛程式
-
在 Cloud Data Fusion UI 中,按一下右上角的「中樞」。
-
點選「資料遺失防護」外掛程式。
-
按一下「部署」。
-
按一下「完成」。
-
在「資料遺失防護 | 部署」對話方塊,點選右上角的「X」按鈕。
-
點選「X」按鈕關閉中樞。
工作 8:建立自訂範本
-
前往 Google Cloud 控制台,在標題列的「搜尋」欄位輸入「安全性」,然後點選搜尋結果中的「安全性」。選取「Sensitive Data Protection」。
-
依序點選「設定」分頁標籤和「建立範本」。
-
在「定義範本」的「範本 ID」欄位,輸入範本 ID。本教學課程稍後需用到這個 ID。
-
按一下「繼續」。
-
在「設定偵測作業」部分,點選「管理 infoType」。
-
在「內建」分頁,使用篩選器搜尋
phone number。
-
選取「PHONE_NUMBER」。
-
按一下「完成」。
-
點選「建立」。
點選「Check my progress」,確認目標已達成。
工作 9:套用遮蓋轉換
-
返回 Cloud Data Fusion UI 的「Studio」頁面,點選並展開「轉換」選單。
-
點選「Google DLP Redact」轉換外掛程式。
- 將連結箭頭從「GCS」節點拖曳至「Google DLP Redact」節點。
- 將游標懸停在「Google DLP Redact」節點上,然後點選「屬性」。
- 將「Use custom template」設為「是」。
- 在「範本 ID」部分,輸入您建立的自訂範本 ID。
- 在「Matching」部分,對「Notes」內的「自訂範本」套用「Masking」。
- 在「遮蓋字元」部分,輸入
#。
-
點選「驗證」,確保沒有錯誤。
-
點選對話方塊右上角的「X」按鈕。
工作 10:儲存輸出資料
將管道輸出結果儲存至 Cloud Storage 檔案。
-
在 Cloud Data Fusion UI 的「Studio」頁面,點選並展開「接收器」選單。
-
按一下「GCS」。
-
將連結箭頭從「Google DLP Redact」節點,拖曳至「GCS2」節點。
- 將游標懸停在「GCS2」節點上,然後按一下「屬性」。
- 在「參照名稱」部分,輸入參照名稱。
- 在「路徑」部分,輸入本實驗室開頭建立的 Cloud Storage bucket 路徑。
- 在「格式」部分,選取「CSV」。
-
點選「驗證」,確保沒有錯誤。
-
點選對話方塊右上角的「X」按鈕。
工作 11:在預覽模式中執行管道
接下來,要在部署前先以預覽模式執行管道。
- 依序點選「預覽」>「執行」。
「執行」按鈕會顯示管道狀態,一開始是「啟動中」,接著變成「停止」,再轉為「執行」。
- 預覽執行作業完成後,在「Google DLP Redact」節點按一下「預覽資料」,即可並排比較輸入和輸出資料。確認電話號碼已使用 # 字元遮蓋。
工作 12:遮蓋其他資料類型
查看預覽執行作業結果時,您發現「Notes」欄出現其他敏感資訊:電子郵件地址。請返回並編輯 Sensitive Data Protection 檢查範本,一併遮蓋電子郵件地址。
-
依序前往「安全性」>「Sensitive Data Protection」。
-
在「設定」分頁選取所需範本。
-
按一下「編輯」。
-
按一下「管理 infoType」。
-
在「內建」分頁,使用篩選器搜尋
phone numberORemail address。
-
選取所有項目,然後按一下「完成」。
-
按一下「儲存」。
-
在彈出式視窗中,點選「確定儲存」。
-
再次以預覽模式執行管道。Cloud Data Fusion 會自動使用更新後的 Sensitive Data Protection 範本。
-
確認電話號碼和電子郵件地址都已使用 # 字元遮蓋。
點選「Check my progress」,確認目標已達成。
工作 13:部署及執行管道
-
確認未勾選「預覽」模式。
-
按一下「儲存」。系統會提示您為管道命名,請設定名稱並點選「儲存」。
-
按一下「部署」。
-
部署完畢後,按一下「執行」。管道執行作業會在幾分鐘內完成。等待期間,管道的「狀態」會從「佈建中」,依序變更為「啟動中」、「執行中」和「已成功」。
點選「Check my progress」,確認目標已達成。
工作 14:查看結果
-
前往 Cloud 控制台的「Cloud Storage」。
-
在「Storage browser」部分,前往您在接收器 Cloud Storage 外掛程式屬性中,所指定的 Cloud Storage bucket。
-
在「已通過驗證的網址」部分,複製連結並貼到新的瀏覽器分頁,即可下載含有結果的 CSV 檔案。確認電話號碼和電子郵件地址都已使用 # 字元遮蓋。
恭喜!
在本實驗室中,您學到如何使用 Sensitive Data Protection,遮蓋流經 Data Fusion 管道的特定資料。這項功能可協助您在分享資料給特定對象前,移除/遮蓋資料中嵌入的 PII 資訊。
如要進一步瞭解如何建立 Sensitive Data Protection 範本,請參閱說明文件。
使用手冊上次更新日期:2025 年 12 月 9 日
實驗室上次測試日期:2025 年 12 月 9 日
Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。
