GSP1073

概览

Sensitive Data Protection 是一项全托管式服务，旨在帮助发现、分类和保护敏感信息。在本实验中，您将使用“发现结果去标识化 (DeID)”操作创建并运行 Sensitive Data Protection 作业，为 Cloud Storage 中的数据创建隐去了某些数据的去标识化副本。您还将学习通过创建去标识化模板来定义如何隐去数据。

在本实验的设置过程中，我们已经为您创建了一个“输入”Cloud Storage 存储桶和一个“输出”Cloud Storage 存储桶。其中“输入”存储桶包含示例文件夹和文件，“输出”存储桶用于存储经过隐去处理的数据。

目标

您此实验中，您将执行以下操作：

• 为结构化和非结构化数据创建 Sensitive Data Protection 去标识化模板
• 配置启用了“发现结果去标识化”操作的 Sensitive Data Protection 检查作业触发器
• 创建 Sensitive Data Protection 检查作业
• 查看检查作业的结果，并在 Cloud Storage 中查看新的去标识化文件

设置和要求

点击“开始实验”按钮前的注意事项

请阅读以下说明。实验是计时的，并且您无法暂停实验。计时器在您点击开始实验后即开始计时，显示 Google Cloud 资源可供您使用多长时间。

此实操实验可让您在真实的云环境中开展实验活动，免受模拟或演示环境的局限。为此，我们会向您提供新的临时凭据，您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。

为完成此实验，您需要：

• 能够使用标准的互联网浏览器（建议使用 Chrome 浏览器）。

注意：请使用无痕模式（推荐）或无痕浏览器窗口运行此实验。这可以避免您的个人账号与学生账号之间发生冲突，这种冲突可能导致您的个人账号产生额外费用。

• 完成实验的时间 - 请注意，实验开始后无法暂停。

注意：请仅使用学生账号完成本实验。如果您使用其他 Google Cloud 账号，则可能会向该账号收取费用。

如何开始实验并登录 Google Cloud 控制台

1. 点击开始实验按钮。如果该实验需要付费，系统会打开一个对话框供您选择支付方式。左侧是“实验详细信息”窗格，其中包含以下各项：

   • “打开 Google Cloud 控制台”按钮
   • 剩余时间
   • 进行该实验时必须使用的临时凭据
   • 帮助您逐步完成本实验所需的其他信息（如果需要）

2. 点击打开 Google Cloud 控制台（如果您使用的是 Chrome 浏览器，请右键点击并选择在无痕式窗口中打开链接）。

   该实验会启动资源并打开另一个标签页，显示“登录”页面。

   提示：将这些标签页安排在不同的窗口中，并排显示。

   注意：如果您看见选择账号对话框，请点击使用其他账号。

3. 如有必要，请复制下方的用户名，然后将其粘贴到登录对话框中。

   {{{user_0.username | "<用户名>"}}}

   您也可以在“实验详细信息”窗格中找到“用户名”。

4. 点击下一步。

5. 复制下面的密码，然后将其粘贴到欢迎对话框中。

   {{{user_0.password | "<密码>"}}}

   您也可以在“实验详细信息”窗格中找到“密码”。

6. 点击下一步。

   重要提示：您必须使用实验提供的凭据。请勿使用您的 Google Cloud 账号凭据。 注意：在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。

7. 继续在后续页面中点击以完成相应操作：

   • 接受条款及条件。
   • 由于这是临时账号，请勿添加账号恢复选项或双重验证。
   • 请勿注册免费试用。

片刻之后，系统会在此标签页中打开 Google Cloud 控制台。

注意：如需访问 Google Cloud 产品和服务，请点击导航菜单，或在搜索字段中输入服务或产品的名称。

任务 1. 创建去标识化模板

为非结构化数据创建模板

在本部分中，您将为非结构化数据配置和创建去标识化模板。

1. 在 Google Cloud 控制台的导航菜单 () 中，依次点击安全 > 数据泄露防护。

2. 点击配置标签页。

3. 在配置 > 模板部分中，点击创建模板。

4. 在创建模板页面，定义以下选项：

   • 在模板类型部分，选择去标识化（移除敏感数据）。
   • 在数据转换类型部分，选择 InfoType
   • 在模板 ID 部分，输入 deid_unstruct1
   • 在显示名称部分，输入 deid_unstruct1 template
   • 将说明字段留空。
   • 对于资源位置，使用默认设置 Global (any region)（全球 [所有区域]）。

5. 点击继续。

6. 在转换规则部分，选择“替换为 infoType 名称”。

7. 在要转换的 InfoType部分，选择“在检查模板或检查配置中定义但未在其他规则中指定的任何检测到的 infoType”。

8. 点击创建。

点击检查我的进度以验证是否完成了以下目标： 为非结构化数据创建模板

为结构化数据创建模板

在本部分中，您将为结构化数据配置和创建去标识化模板。

1. 在 Google Cloud 控制台中，返回数据泄露防护页面。

2. 点击配置标签页。

3. 在配置 > 模板部分中，点击创建模板。

4. 在创建模板页面，定义以下选项：

   • 在模板类型部分，选择去标识化（移除敏感数据）。
   • 在数据转换类型部分，选择记录
   • 在模板 ID部分，输入 deid_struct1
   • 在显示名称部分，输入 deid_struct1 template
   • 将说明字段留空。
   • 对于资源位置，使用默认设置 Global (any region)（全球 [所有区域]）。

5. 点击继续。

6. 对于转换规则，添加以下字段名称：ssn、ccn、email、vin、id、agent_id、user_id。

7. 在转换类型部分，选择“原初字段转换”。

8. 在转换方法部分，选择“替换”。这会替换与您提供的列表中的字段匹配的字段的所有单元格内容。

9. 点击 + 添加转换规则。

10. 对于这条新规则，添加字段：message。

11. 在转换类型部分，选择“按 infoType 匹配”，然后点击添加转换。

12. 在转换方法部分，选择“替换为 infoType 名称”。

13. 在要转换的 InfoType 部分，“选择在检查模板或检查配置中定义但未在其他规则中指定的任何检测到的 infoType。”。此操作会对包含名为 message 的字段的所有文件执行 infoType 检查和数据隐去。

13. 点击创建。

点击检查我的进度以验证是否完成了以下目标： 为结构化数据创建模板

任务 2. 创建 DLP 检查作业触发器

1. 在 Google Cloud 控制台中，返回数据泄露防护页面。

2. 点击检查标签页。

3. 点击创建作业和作业触发器。

4. 如需配置输入数据，请执行以下操作：

   • 在名称部分，定义以下选项：
     • 在作业 ID 部分，输入 DeID_Storage_Demo1。
     • 将资源位置设置为 Global (any region)（全球 [所有区域]）。
   • 在存储类型列表中，选择 Google Cloud Storage，然后定义以下选项：
     • 在位置类型部分，选择“使用可选的包含/排除规则扫描存储桶”。
     • 在网址部分，输入：
     • 将“要扫描的已添加对象在存储桶内所占的百分比”设置为 100%，然后选择不采样

注意：存储桶网址中不得有空格。

5. 将其余字段保留为默认值，然后点击继续。

6. 在配置检测下，将所有字段保留为默认值，然后点击继续。

7. 在添加操作下，使用切换开关启用Make a de-identify copy（创建去标识化副本）。

8. 在相应的框中输入您在上面创建的两个模板：

   • projects//locations/global/deidentifyTemplates/deid_unstruct1
   • projects//locations/global/deidentifyTemplates/deid_struct1

注意：去标识化模板路径中不能有空格。

9. 在 Cloud Storage 输出位置部分，指定：

这样可以指定将经过数据隐去处理的输出写入为您创建的第二个存储桶。

10. 点击继续。

11. 对于时间安排，选择创建一个触发器来定期运行作业，然后选择每周。

12. 点击继续。

13. 向下滚动，然后依次点击创建 > 确认创建。

14. 现在，您应该会在检查 > 作业触发器下看到一个作业。

点击检查我的进度以验证是否完成了以下目标： 创建 DLP 检查作业触发器

任务 3. 运行 DLP 检查并查看结果

1. 在 Google Cloud 控制台中，返回数据泄露防护页面。

2. 点击检查标签页。

3. 在作业触发器下，您应该会看到您创建的作业触发器。

4. 选择此作业触发器。

5. 点击立即运行。

6. 此命令会创建并运行一个新的作业实例。

7. 从下面的触发的作业部分选择作业实例。

注意：如果您没有看到作业，可能需要刷新屏幕或等待一分钟后再刷新。

8. 监控作业并等待其显示完成。

9. 完成后，查看此页面上的结果，看看在存储桶中发现了什么。

太棒了！您应该会看到发现结果已填充完毕，底部显示了作业结果的概览。

查看去标识化输出

1. 在作业结果页面上，点击配置。

2. 向下滚动到 Output bucket for de-identified Cloud Storage Data（用于去标识化 Cloud Storage 数据的输出存储桶）部分。

3. 点击存储桶链接，前往该 Cloud Storage 存储桶。

4. 浏览各个文件夹和文件，看看哪些内容已被隐去。例如，点击图片文件夹中的一张图片，应该会显示类似以下内容：

如需进一步探索，您可以尝试以下操作：

• 更改去标识化模板中的设置，尝试不同的数据去标识化和转换方法。若要查看转换参考文档，请点击此处。您还可以尝试使用 Cloud KMS 启用不同的标记化或假名化方法。
• 尝试修改 DLP 作业触发器，调整要检查的数据类型，然后从触发器页面点击“立即运行”来运行另一个作业。例如，如果您停用 PERSON_NAME 检测，则名称不应再被隐去。

恭喜！

在本实验中，您为结构化和非结构化数据创建了 Sensitive Data Protection 去标识化模板，配置了启用了“发现结果去标识化”操作的作业触发器，创建了检查作业，并查看了检查作业的结果。

后续步骤/了解详情

请务必参阅以下文档，以便进一步练习使用 Sensitive Data Protection：

• Sensitive Data Protection 文档
• Google Cloud 博客文章，讨论了使用 Sensitive Data Protection 保护敏感数据。

Google Cloud 培训和认证

…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践，可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训，并有点播、直播和虚拟三种方式选择，让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。

本手册的最后更新时间：2023 年 5 月 25 日

本实验的最后测试时间：2023 年 5 月 25 日

版权所有 2026 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。