准备工作
- 实验会创建一个 Google Cloud 项目和一些资源,供您使用限定的一段时间
- 实验有时间限制,并且没有暂停功能。如果您中途结束实验,则必须重新开始。
- 在屏幕左上角,点击开始实验即可开始
检查点
Enable sensitive data protection for Cloud Storage
/ 40
Enable sensitive data protection for BigQuery
/ 30
Protect sensitive data in Gen AI model responses
/ 30
实验设置说明和要求
保护您的账号和进度。请务必在无痕浏览器窗口中,使用实验凭证运行此实验。
找出並保護生態系統中的敏感資料:挑戰實驗室
实验说明和任务
此内容尚未针对移动设备进行优化。
为获得最佳体验,请在桌面设备上访问通过电子邮件发送的链接。
GSP522
總覽
在挑戰研究室中,您會在特定情境下完成一系列任務。挑戰研究室不會提供逐步說明,您將運用從課程研究室學到的技巧,自行找出方法完成任務!自動評分系統 (如本頁所示) 將根據您是否正確完成任務來提供意見回饋。
在您完成任務的期間,挑戰研究室不會介紹新的 Google Cloud 概念。您須靈活運用所學技巧,例如變更預設值或詳讀並研究錯誤訊息,解決遇到的問題。
若想滿分達標,就必須在時限內成功完成所有任務!
本實驗室適合已參加「找出並保護生態系統中的敏感資料」課程的學員。準備好迎接挑戰了嗎?
挑戰情境
您是 Cymbal Cars 的資料工程師,負責在貴組織的資料生態系統中,識別並保護客戶 (車主) 的敏感資料。
您的同事先前已完成部分工作,從貴組織的 Cloud Storage 檔案、BigQuery 資料表 (尤其是當中的美國社會安全碼),以及生成式 AI 模型回覆內容中,識別並遮蓋敏感資料。
為了確保 Cloud Storage 檔案和 BigQuery 資產持續受到定期掃描和保護,您想設定 Sensitive Data Protection 探索功能,並執行工作來找出及遮蓋其他敏感資料 (例如信用卡號碼)。
您也想針對貴組織的生成式 AI 模型,強化同事採取的保護機制,遮蓋含有憑證的回覆。
在這項挑戰中,您將運用 Sensitive Data Protection 工具的相關知識,在 Cloud Storage 和 BigQuery 中搜尋及保護資料,並使用 Cloud Data Loss Prevention (DLP) API 的 Python 用戶端,識別並遮蓋含有憑證的生成式 AI 模型回覆。
測驗主題
- 為 Cloud Storage 建立探索服務掃描設定並排定時間
- 建立去識別化範本,並對 Cloud Storage 檔案執行去識別化工作
- 為敏感資料建立 IAM 標記,並套用至 BigQuery 資料,以授予條件式存取權
- 編寫 Python 函式,遮蓋及封鎖 Cloud Data Loss Prevention (DLP) API 從生成式 AI 模型回覆中識別出的敏感資料
設定和需求
請使用下列詳細資料設定本實驗室環境:
- 以使用者名稱 1 (
) 登入 Google Cloud 控制台。 - 「專案 ID」請使用:
- 「位置」請使用:
(除非另有規定)
瞭解以下事項後,再點選「Start Lab」按鈕
請詳閱以下操作說明。實驗室活動會計時,且中途無法暫停。點選「Start Lab」後就會開始計時,顯示可使用 Google Cloud 資源的時間。
您將在真正的雲端環境完成實作實驗室活動,而不是模擬或示範環境。為此,我們會提供新的暫時憑證,供您在實驗室活動期間登入及存取 Google Cloud。
為了順利完成這個實驗室,請先確認:
- 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。
- 是時候完成實驗室活動了!別忘了,活動一旦開始將無法暫停。
工作 1:為 Cloud Storage 啟用 Sensitive Data Protection
您的團隊有一個名為「gs://sample-chat-log-data-10.csv)。
您的目標是找出新 CSV 檔案中的信用卡號碼並進行遮蓋,同時為 bucket 啟用每日探索功能,以便持續監控新出現的敏感資料。
為順利達成這些目標,請完成下列子工作。
展開下方的提示,即可查看實用指南,輕鬆上手!
為 Cloud Storage 建立探索掃描設定並排定每日執行
探索掃描的實用提示!
| 屬性 | 值 |
|---|---|
| 選取範圍 | 掃描所選專案 |
| 代管時間表 | 編輯「預設時間表」,將「依時間表」設為「每日重新剖析」,並選取「檢查範本變更時」 |
| 選取檢查範本 | 建立新的檢查範本 |
| 將資料設定檔副本儲存至 BigQuery | 在目前專案中,將「資料集 ID」設為「cs_discovery」,並將「資料表 ID」設為「cs_data_profiles」 |
| 設定儲存設定的位置 | 「多區域」 >「US (多個美國地區)」 |
| 設定的顯示名稱 | Cloud Storage 每日探索 |
建立去識別化範本,遮蓋結構化資料 (例如 CSV 檔案) 中的信用卡號碼
去識別化範本的實用提示!
| 屬性 | 值 |
|---|---|
| 範本 ID | us_ccn_deidentify |
| 資料轉換類型 | 記錄 |
| 顯示名稱 | 去識別化信用卡號碼 |
| 位置類型 | 「多區域」 >「global (全球)」 |
| 套用轉換規則的欄位 | 訊息 |
| 轉換類型 | 比對 infoType |
| 轉換方法 | 替換為 infoType 名稱 |
使用去識別化範本,對 Cloud Storage bucket 中的 CSV 檔案執行去識別化工作
去識別化工作的實用提示!
| 屬性 | 值 |
|---|---|
| 工作 ID | us_ccn_deidentify |
| 位置類型 | 「多區域」 >「US (多個美國地區)」 |
| 網址 | gs:// |
| 以遞迴方式掃描 | 啟用這個選項 |
| 取樣 | 100% |
| 取樣方式 | 不進行任何取樣作業 |
| 結構化去識別化範本 | 為您在步驟 2 建立的去識別化範本指定路徑 |
| 將轉換作業詳細資料匯出至 BigQuery | 在目前專案中,將「資料集 ID」設為「cs_transformations」,並將「資料表 ID」設為「deidentify_ccn」 |
| Cloud Storage 輸出位置 | gs:// |
點選「Check my progress」,確認目標已達成。
工作 2:為 BigQuery 啟用 Sensitive Data Protection
BigQuery 也儲存了用於分析的車主及購買資料,其中部分資料集包含敏感資料。您的工作是在 IAM 中,為具敏感性的個人識別資訊 (SPII) 建立標記,並使用該標記授予特定使用者條件式存取權,僅限存取含「無 SPII」標記的 BigQuery 資料集。
為順利達成這個目標,請完成下列子工作。
展開下方的提示,即可查看實用指南,輕鬆上手!
在 IAM 中建立具敏感性的個人識別資訊 (SPII) 標記
建立標記的實用提示!
| 屬性 | 值 |
|---|---|
| 標記鍵 | SPII |
| 標記鍵說明 | 標記具敏感性的個人識別資訊 (SPII) |
| 標記鍵/值 1 | 是 |
| 標記鍵/值 1 說明 | 包含具敏感性的個人識別資訊 (SPII) |
| 標記鍵/值 2 | 否 |
| 標記鍵/值 2 說明 | 不含具敏感性的個人識別資訊 (SPII) |
為 Username 2 授予條件式存取權,僅限存取含「無 SPII」標記的 BigQuery 資料集
授予條件式存取權的實用提示!
- 更新使用者名稱 2 (
) 的 IAM 設定,新增條件 (即只允許存取「SPII」標記值為「No」的 BigQuery 資料集)。
| 屬性 | 值 |
|---|---|
| Username 2 的 IAM 角色 | 將「檢視者」變更為「瀏覽者」,並保留「BigQuery 資料檢視者」角色來新增條件。 |
| 條件標題 | 僅限存取無 SPII 的資料 |
| 條件類型 1 和運算子 | 選取「標記」和「含有值」 |
| 條件類型 1 的值路徑 |
- 將 BigQuery 資料集「orders」的「SPII」標記設為「No」。
與 car_owners 資料集不同,orders 資料集不含 SPII,只包含訂單詳細資料。
選用測試:如要查看條件式存取權的實際運作情形,可以使用 Username 2 的身分登入專案,然後前往 BigQuery。Username 2 現在只能存取「SPII」標記為「No」的資料集,因此持續重新整理頁面後,最後「Explorer」清單中只會剩下 orders 資料集。
請注意,條件可能需要幾分鐘才會生效。
點選「Check my progress」,確認目標已達成。
工作 3:保護生成式 AI 模型回覆中的敏感資料
您的團隊已建立 Python 函式,可識別並遮蓋或封鎖生成式 AI 模型回覆中的敏感資料類型。您要負責擴充此函式,封鎖含有美國車輛識別號碼的生成式 AI 模型回覆。車輛識別號碼是核發給北美每輛道路用機動車輛的 17 位數專屬代碼,屬於敏感資料。
為順利達成這個目標,請使用這個實驗室環境提供的筆記本,完成下列子工作:
- 更新現有的 Python 函式,封鎖含有美國車輛識別碼的
模型回覆。 - 使用下列提示詞生成範例文字,測試更新後的函式:
Is 4Y1SL65848Z411439 an example of a US Vehicle Identification Number (VIN)?- 生成回覆時,請務必將溫度參數 (temperature) 設為 0,以便在下方的進度檢查中傳回機率最高的結果。
請務必在名為 vertex-ai-jupyterlab 的 Workbench 執行個體中,使用預先建立的筆記本 deidentify-model-response-challenge-lab.ipynb。
- 「專案 ID」請使用:
- 「位置」請輸入:
1. 關閉 JupyterLab 的瀏覽器分頁,回到 Workbench 首頁。
2. 勾選執行個體名稱旁的核取方塊,然後點按「重設」。
3. 「Open JupyterLab」按鈕再次啟用後,請等待一分鐘,然後按一下「Open JupyterLab」。
更新及測試 Python 函式的實用提示!
將溫度參數設為 0 的實用提示!
點選「Check my progress」,確認目標已達成。
恭喜!
在本實驗室中,您為 Cloud Storage 建立並排定探索掃描設定,並建立了去識別化範本,用於對 Cloud Storage 檔案執行去識別化工作。您也建立了 IAM 標記,並套用至 BigQuery 資料,以授予條件式存取權。最後,您更新了 Python 函式,根據 Cloud Data Loss Prevention (DLP) API 識別出的敏感資料,對生成式 AI 模型的回覆進行遮蓋及封鎖。
Google Cloud 教育訓練與認證
協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。
使用手冊上次更新日期:2025 年 10 月 30 日
實驗室上次測試日期:2025 年 10 月 30 日
Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。
