GSP864

Visão geral

A API Cloud Data Loss Prevention (DLP) faz parte da Proteção de Dados Sensíveis, que é um serviço totalmente gerenciado criado para ajudar a descobrir, classificar e proteger informações sensíveis.

É possível usar a API DLP para classificar dados de várias maneiras, incluindo tipo de dados, nível de sensibilidade e categorias.

A API DLP protege dados sensíveis de várias maneiras, por exemplo:

• Encobrimento: oculte dados sensíveis de um documento ou arquivo.
• Mascaramento: desidentifique dados sensíveis com um marcador de posição, como *.
• Tokenização: substitua dados sensíveis por um identificador exclusivo.
• Criptografia: codifique dados sensíveis.

Neste laboratório, você vai conhecer os recursos básicos da API DLP e testar várias maneiras de usar a API para proteger dados.

O que você vai aprender

Neste laboratório, você vai usar a API DLP para:

• Inspecionar strings e arquivos para ver tipos de informações correspondentes.
• Aprender sobre técnicas de desidentificação e como desidentificar dados.
• Encobrir tipos de informações de strings e imagens

Configuração e requisitos

Antes de clicar no botão Começar o Laboratório

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é ativado quando você clica em Iniciar laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, e não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima (recomendado) ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório: não se esqueça que, depois de começar, não será possível pausar o laboratório.

Observação: use apenas a conta de estudante neste laboratório. Se usar outra conta do Google Cloud, você poderá receber cobranças nela.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar por ele, uma caixa de diálogo vai aparecer para você selecionar a forma de pagamento. No painel Detalhes do Laboratório, à esquerda, você vai encontrar o seguinte:

   • O botão Abrir Console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer Login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Username"}}}

   Você também encontra o nome de usuário no painel Detalhes do Laboratório.

4. Clique em Próxima.

5. Copie a Senha abaixo e cole na caixa de diálogo de Olá.

   {{{user_0.password | "Password"}}}

   Você também encontra a senha no painel Detalhes do Laboratório.

6. Clique em Próxima.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar os produtos e serviços do Google Cloud, clique no Menu de navegação ou digite o nome do serviço ou produto no campo Pesquisar.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

2. Clique nas seguintes janelas:

   • Continue na janela de informações do Cloud Shell.
   • Autorize o Cloud Shell a usar suas credenciais para fazer chamadas de APIs do Google Cloud.

Depois de se conectar, você verá que sua conta já está autenticada e que o projeto está configurado com seu Project_ID, . A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

3. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

4. Clique em Autorizar.

Saída:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Observação: consulte a documentação completa da gcloud no Google Cloud no guia de visão geral da gcloud CLI.

Configurar a região

Defina a região do seu projeto:

gcloud config set compute/region {{{project_0.default_region | Region}}}

Tarefa 1: Clonar o repositório e ativar as APIs

1. No Cloud Shell, execute o seguinte comando para fazer o download do repositório de cliente Node.js do Cloud Data Loss Prevention:

git clone https://github.com/googleapis/synthtool

2. Depois de baixar o código do projeto, mude para o diretório de exemplos e instale os pacotes necessários do Node.js:

cd synthtool/tests/fixtures/nodejs-dlp/samples/ && npm install Observação : ignore todas as mensagens de aviso.

3. Defina o projeto correto com o seguinte comando gcloud:

export PROJECT_ID={{{project_0.project_id | "filled in at lab start"}}} gcloud config set project $PROJECT_ID

Ativar APIs

Estas são as APIs necessárias para ativar seu projeto:

• API DLP: oferece métodos para detecção, análise de risco e desidentificação de fragmentos com informações confidenciais em textos, imagens e repositórios do Google Cloud Storage.
• API Cloud Key Management Service (KMS): o Google Cloud KMS permite o gerenciamento de chaves de criptografia e realiza operações criptográficas com essas chaves.

1. Ative as APIs necessárias com o seguinte comando gcloud:

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com \ --project $PROJECT_ID

Clique em Verificar meu progresso para conferir o objetivo. Ative as APIs

Tarefa 2: Inspecionar strings e arquivos

O diretório de exemplos do projeto baixado na etapa anterior contém vários arquivos JavaScript que usam as diferentes funcionalidades da API DLP. O arquivo inspectString.js inspeciona uma string fornecida em busca de tipos de informações sensíveis.

1. Forneça a opção de string e uma string de exemplo com algumas informações potencialmente sensíveis:

node inspectString.js $PROJECT_ID "My email address is jenny@somedomain.com and you can call me at 555-867-5309" > inspected-string.txt

A resposta informa as descobertas para cada tipo de informação correspondente, incluindo:

• InfoType: o tipo de informação detectado para essa parte da string. Confira aqui uma lista completa dos tipos de informações possíveis. Por padrão, o inspectString.js inspeciona apenas os InfoTypes CREDIT_CARD_NUMBER, PHONE_NUMBER, PERSON_NAME e EMAIL_ADDRESS

• Probabilidade: os resultados são categorizados com base na probabilidade de representarem alguma correspondência. A probabilidade pode variar de VERY_UNLIKELY a VERY_LIKELY.

Confira a resposta usando o comando a seguir:

cat inspected-string.txt

As descobertas da solicitação acima são:

Findings: Info type: PERSON_NAME Likelihood: POSSIBLE Info type: EMAIL_ADDRESS Likelihood: LIKELY Info type: PHONE_NUMBER Likelihood: VERY_LIKELY

2. Também é possível inspecionar arquivos em busca de tipos de informações. Execute o comando a seguir para revisar o arquivo de exemplo accounts.txt:

cat resources/accounts.txt

O arquivo inclui o seguinte texto:

My credit card number is 1234 5678 9012 3456, and my CVV is 789.

3. Use o arquivo inspectFile.js para inspecionar o arquivo fornecido em busca de tipos de informações sensíveis:

node inspectFile.js $PROJECT_ID resources/accounts.txt > inspected-file.txt

Confira a resposta usando o comando a seguir:

cat inspected-file.txt

Resultados:

Findings: Info type: CREDIT_CARD_NUMBER Likelihood: VERY_LIKELY

Abaixo está a função assíncrona que usa a API para inspecionar a entrada de string:

async function inspectString( ProjectId, string, minLikelihood, maxFindings, infoTypes, customInfoTypes, includeQuote ) { ... }

Os argumentos fornecidos para os parâmetros acima são usados para construir um objeto de solicitação. Essa solicitação é fornecida à função inspectContent para receber uma resposta que resulta em:

// Construct item to inspect const item = {value: string}; // Construct request const request = { parent: `projects/${projectId}/locations/global`, inspectConfig: { infoTypes: infoTypes, customInfoTypes: customInfoTypes, minLikelihood: minLikelihood, includeQuote: includeQuote, limits: { maxFindingsPerRequest: maxFindings, }, }, item: item, }; // Run request const [response] = await dlp.inspectContent(request);

Faça upload da resposta para o Cloud Storage

Execute os comandos a seguir para fazer upload das respostas no Cloud Storage e validar o monitoramento da atividade:

gsutil cp inspected-string.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}} gsutil cp inspected-file.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}}

Clique em Verificar meu progresso para conferir o objetivo. Inspecionar strings e arquivos

Tarefa 3: Desidentificação

Além de inspecionar e detectar dados sensíveis, você também pode usar a Proteção de Dados Sensíveis para realizar a desidentificação usando a API DLP. A desidentificação é o processo de remover informações de identificação pessoal dos dados. A API detecta dados sensíveis conforme definidos por tipos de informações e usa uma transformação de desidentificação para mascarar, excluir ou ocultar os dados.

1. Execute o comando deidentifyWithMask.js para testar a desidentificação com uma máscara:

node deidentifyWithMask.js $PROJECT_ID "My order number is F12312399. Email me at anthony@somedomain.com" > de-identify-output.txt

Confira a resposta usando o comando a seguir:

cat de-identify-output.txt

Com uma máscara, a API substitui os caracteres do tipo de informação correspondente por um caractere diferente, * por padrão. Exemplo de resposta:

My order number is F12312399. Email me at *****************************

Observe que o endereço de e-mail na string está ofuscado, enquanto o número de pedido arbitrário está intacto. InfoTypes personalizados são possíveis, mas estão fora do escopo deste laboratório.

Confira a função que usa a API DLP para desidentificar com uma máscara. Mais uma vez, esses argumentos são usados para construir um objeto de solicitação. Desta vez, eles são fornecidos à função deidentifyContent:

async function deidentifyWithMask() { const request = { parent: `projects/${projectId}/locations/global`, deidentifyConfig: { infoTypeTransformations: { transformations: [ { primitiveTransformation: { characterMaskConfig: { maskingCharacter: maskingCharacter, numberToMask: numberToMask, }, }, }, ], }, }, item: item, }; // Run deidentification request const [response] = await dlp.deidentifyContent(request);

Faça upload da resposta para o Cloud Storage

Execute os comandos a seguir para fazer upload das respostas no Cloud Storage e validar o monitoramento da atividade:

gsutil cp de-identify-output.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}}

Clique em Verificar meu progresso para conferir o objetivo. Desidentificação

Tarefa 4: Encobrir strings e imagens

Outro método de ofuscação de informações sensíveis é o encobrimento. Ele substitui uma correspondência pelo infoType com o qual ela foi identificada.

1. Use redactText.js para encobrir texto de uma entrada de exemplo:

node redactText.js $PROJECT_ID "Please refund the purchase to my credit card 4012888888881881" CREDIT_CARD_NUMBER > redacted-string.txt

Confira a resposta usando o comando a seguir:

cat redacted-string.txt

A resposta substitui o número de cartão de crédito de exemplo pelo InfoType CREDIT_CARD_NUMBER:

Please refund the purchase on my credit card [CREDIT_CARD_NUMBER]

Isso é útil se você quiser ocultar informações sensíveis, mas identificar o tipo de informação que está sendo removida. A API DLP pode fazer o mesmo com informações em imagens que contêm texto. Confira uma imagem de exemplo (localizada no diretório samples/resources):

2. Para encobrir o número de telefone da imagem acima, execute o seguinte comando:

node redactImage.js $PROJECT_ID resources/test.png "" PHONE_NUMBER ./redacted-phone.png

Conforme especificado, uma nova imagem chamada redacted-phone.png é gerada ocultando as informações solicitadas. Para verificar, abra o arquivo samples/redacted-phone.png usando o editor de código do Cloud Shell:

Observação: no editor de código do Cloud Shell, use o painel esquerdo (Explorer) para navegar até synthtool > tests > fixtures > nodejs-dlp > samples > redacted-phone.png

3. Tente de novo para encobrir o endereço de e-mail da imagem:

node redactImage.js $PROJECT_ID resources/test.png "" EMAIL_ADDRESS ./redacted-email.png

Conforme especificado, uma nova imagem chamada redacted-email.png é gerada ocultando as informações solicitadas. Para verificar, abra o arquivo samples/redacted-email.png no editor de código do Cloud Shell:

Esta é a função usada para encobrir uma string:

async function redactText( callingProjectId, string, minLikelihood, infoTypes ) { ...}

E esta é a solicitação fornecida à função deidentifyContent:

const request = { parent: `projects/${projectId}/locations/global`, item: { value: string, }, deidentifyConfig: { infoTypeTransformations: { transformations: [replaceWithInfoTypeTransformation], }, }, inspectConfig: { minLikelihood: minLikelihood, infoTypes: infoTypes, }, }; const [response] = await dlp.deidentifyContent(request);

Esta é a função para editar uma imagem:

async function redactImage( callingProjectId, filepath, minLikelihood, infoTypes, outputPath ) { ...}

Esta é a solicitação fornecida à função redactImage:

// Construct image redaction request const request = { parent: `projects/${projectId}/locations/global`, byteItem: { type: fileTypeConstant, data: fileBytes, }, inspectConfig: { minLikelihood: minLikelihood, infoTypes: infoTypes, }, imageRedactionConfigs: imageRedactionConfigs, };

Faça upload da resposta para o Cloud Storage

Execute os comandos a seguir para fazer upload das respostas no Cloud Storage e validar o monitoramento da atividade:

gsutil cp redacted-string.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}} gsutil cp redacted-phone.png gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}} gsutil cp redacted-email.png gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}}

Clique em Verificar meu progresso para conferir o objetivo. Encobrir strings e imagens

Parabéns!

A API Cloud Data Loss Prevention (DLP) é uma ferramenta poderosa que fornece acesso a uma plataforma avançada de inspeção, classificação e desidentificação de dados sensíveis. Você usou a API DLP para inspecionar strings e arquivos em busca de vários tipos de informações e, em seguida, encobriu dados de uma string e de uma imagem.

Próximas etapas / Saiba mais

Confira a documentação a seguir para praticar mais com a API DLP:

• Cloud Data Loss Prevention (parte da Proteção de Dados Sensíveis)
• O post do blog do Google Cloud que discute como proteger dados sensíveis usando a API DLP (em inglês).

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 22 de abril de 2025

Laboratório testado em 22 de abril de 2025

Copyright 2026 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.