GSP1073

總覽

Sensitive Data Protection 是一項全代管服務，可以協助您找出、分類和保護機密資訊。在本實驗室中，您會使用「將發現項目去識別化」動作，建立並執行 Sensitive Data Protection 工作，在 Cloud Storage 為部分資料建立經過遮蓋的去識別化副本。此外，您也會學習如何建立去識別化範本，以定義資料遮蓋方式。

在本實驗室的設定過程中，系統已為您建立「input」與「output」Cloud Storage bucket，前者內含範例資料夾與檔案，後者則用於儲存經遮蓋處理的資料。

目標

本實驗室的學習內容包括：

• 為結構化和非結構化資料建立 Sensitive Data Protection 去識別化範本
• 啟用「將發現項目去識別化」動作，來設定 Sensitive Data Protection 檢查工作觸發條件
• 建立 Sensitive Data Protection 檢查工作
• 查看檢查工作結果，並前往 Cloud Storage 檢視去識別化的新檔案

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

工作 1：建立去識別化範本

為非結構化資料建立範本

在本節中，您要為非結構化資料設定及建立去識別化範本。

1. 在 Google Cloud 控制台，依序點選「導覽選單」圖示 >「安全性」>「資料遺失防護」。

2. 點選「設定」分頁標籤。

3. 在「設定」分頁，依序點選「範本」部分 >「建立範本」。

4. 在「建立範本」頁面定義下列選項：

   • 在「範本類型」部分，選取「去識別化 (移除機密資料)」。
   • 在「資料轉換類型」部分，選取「InfoType」。
   • 在「範本 ID」部分，輸入 deid_unstruct1。
   • 在「顯示名稱」部分，輸入 deid_unstruct1 template。
   • 將「說明」部分留空。
   • 在「資源地區」部分，使用預設設定「全球 (任何區域)」。

5. 點選「繼續」。

6. 在「轉換規則」部分，選取「替換為 infoType 名稱」。

7. 在「要轉換的 InfoType」部分，選取「系統偵測到的所有 infoType (已於檢查範本或檢查設定中定義，但並未在其他規則中指定)」。

8. 點選「建立」。

點選「Check my progress」，確認目標已達成。為非結構化資料建立範本

為結構化資料建立範本

在本節中，您要為結構化資料設定及建立去識別化範本。

1. 在 Google Cloud 控制台，返回「資料遺失防護」頁面。

2. 點選「設定」分頁標籤。

3. 在「設定」分頁，依序點選「範本」部分 >「建立範本」。

4. 在「建立範本」頁面定義下列選項：

   • 在「範本類型」部分，選取「去識別化 (移除機密資料)」。
   • 在「資料轉換類型」部分，選取「記錄」。
   • 在「範本 ID」部分，輸入 deid_struct1。
   • 在「顯示名稱」部分，輸入 deid_struct1 template。
   • 將「說明」部分留空。
   • 在「資源地區」部分，使用預設設定「全球 (任何區域)」。

5. 點選「繼續」。

6. 在「轉換規則」部分，新增下列欄位名稱：ssn、ccn、email、vin、id、agent_id 和 user_id。

7. 在「轉換類型」部分，選取「原始欄位轉換」。

8. 在「轉換方法」部分選取「取代」。若系統發現有欄位與您列出的任何欄位相符，其儲存格內容就會遭替換。

9. 點選「+ 新增轉換規則」。

10. 在這項新規則中新增 message 欄位。

11. 在「轉換類型」部分，選取「比對 infoType」，然後點選「新增轉換」。

12. 在「轉換方法」部分，選取「替換為 infoType 名稱」。

13. 在「要轉換的 InfoType」部分，選取「系統偵測到的所有 infoType (已於檢查範本或檢查設定中定義，但並未在其他規則中指定)」，這樣系統就會對有 message 欄位的所有檔案執行 infoType 檢查和遮蓋作業。

13. 點選「建立」。

點選「Check my progress」，確認目標已達成。為結構化資料建立範本

工作 2：建立資料遺失防護檢查工作的觸發條件

1. 在 Google Cloud 控制台，返回「資料遺失防護」頁面。

2. 點選「檢查」分頁標籤。

3. 點選「建立工作和工作觸發條件」。

4. 按照下列指示操作，設定輸入資料：

   • 在「名稱」部分定義下列選項：
     • 在「工作 ID」部分，輸入 DeID_Storage_Demo1。
     • 在「資源地區」部分，維持「全球 (任何區域)」設定。
   • 從「儲存空間類型」清單中，選取「Google Cloud Storage」，然後定義下列選項：
     • 在「位置類型」部分，選取「透過選用的納入/排除規則掃描 bucket」。
     • 在 bucket 的網址部分，輸入 。
     • 將「bucket 中要掃描的內含物件占比」設為 100%，並選取「不進行任何取樣作業」。

注意：請確認儲存空間 bucket 的網址沒有空格。

5. 其餘欄位保留預設值，然後點選「繼續」。

6. 在「設定偵測作業」底下，將所有欄位保留預設值，然後點選「繼續」。

7. 在「新增動作」底下，將「建立去識別化副本」切換為啟用。

8. 在對應的方塊中，輸入先前建立的兩個範本：

   • projects//locations/global/deidentifyTemplates/deid_unstruct1
   • projects//locations/global/deidentifyTemplates/deid_struct1

注意：請確認去識別化範本的路徑沒有空格。

9. 在「Cloud Storage 輸出位置」部分，指定 。

隨後經遮蓋處理的輸出內容，就會寫入系統為您建立的第二個 bucket。

10. 點選「繼續」。

11. 在「時間表」部分，依序選取「建立觸發條件來定期執行工作」>「每週」。

12. 點選「繼續」。

13. 向下捲動畫面，然後依序點選「建立」>「確認建立」。

14. 現在「檢查」分頁的「工作觸發條件」底下，應該會列出工作。

點選「Check my progress」，確認目標已達成。建立資料遺失防護檢查工作的觸發條件

工作 3：執行資料遺失防護檢查並查看結果

1. 在 Google Cloud 控制台，返回「資料遺失防護」頁面。

2. 點選「檢查」分頁標籤。

3. 在「工作觸發條件」底下，應會看到剛才建立的工作觸發條件。

4. 選取這個工作觸發條件。

5. 點選「立即執行」。

6. 新的工作執行個體會隨即建立並執行。

7. 在下方的「已觸發的工作」部分，選取要查看的工作執行個體。

注意：如果找不到工作，請重新整理畫面，或稍後再重新整理。

8. 監控工作進度，等待畫面上顯示「完成」。

9. 完成後，這個頁面就會顯示結果，指出 bucket 中的發現項目。

太好了！您應該會看見發現項目均已填入，而且頁面底部會顯示工作結果的總覽。

查看去識別化的輸出內容

1. 在「工作結果」頁面，點選「設定」。

2. 向下捲動至「Output bucket for de-identified Cloud Storage data」部分。

3. 點選 bucket 連結，即可前往該 Cloud Storage bucket。

4. 瀏覽各個資料夾和檔案，瞭解哪些資料已遮蓋。舉例來說，點按 images 資料夾中的任一圖像後，畫面應如下所示：

如果想進一步探索，不妨嘗試下列做法：

• 變更去識別化範本的設定，試著以不同方式去識別化和轉換資料。詳情請參閱「轉換參考資料」一文。或者，您也能使用 Cloud KMS 來啟用不同的代碼化或匿名化機制。
• 修改資料遺失防護工作的觸發條件，並調整要檢查的資料類型，接著在觸發條件頁面點選「立即執行」，即可執行另一項工作。舉例來說，如果停止偵測 PERSON_NAME，系統就不會再遮蓋姓名。

恭喜！

在本實驗室中，您為結構化和非結構化資料建立了 Sensitive Data Protection 去識別化範本、啟用「將發現項目去識別化」動作來設定工作觸發條件、建立檢查工作，並查看該工作的結果。

後續步驟/瞭解詳情

請務必參閱下列說明文件，多多練習使用 Sensitive Data Protection：

• Sensitive Data Protection 說明文件
• Google Cloud 網誌文章，學習運用 Sensitive Data Protection 保護機密資料。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2023 年 5 月 25 日

實驗室上次測試日期：2023 年 5 月 25 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。