GSP107

Die Cloud Data Loss Prevention (DLP) API ist jetzt Teil von Sensitive Data Protection und bietet programmatischen Zugriff auf eine leistungsfähige Engine zur Erkennung personenidentifizierbarer Daten und anderer datenschutzrelevanter sensibler Daten in unstrukturierten Datenstreams.

Mit der DLP API erfolgt eine schnelle, skalierbare Klassifizierung sensibler Daten wie Kreditkartennummern, Namen, Sozialversicherungs-, Reisepass- und Telefonnummern, die optional auch entfernt werden können. Die API unterstützt Text und Bilder. Sie können Daten einfach an die API senden oder Daten auswählen, die auf Ihren Instanzen von Cloud Storage, BigQuery und Cloud Datastore gespeichert sind.

In diesem Lab richten Sie eine JSON-Datei ein, um einen String von Daten auf vertrauliche Daten zu überprüfen. Anschließend entfernen Sie alle vertraulichen Daten, die gefunden wurden.

Lerninhalte

In diesem Lab verwenden Sie die DLP API für folgende Aufgaben:

• String auf vertrauliche Daten prüfen
• Sensible Daten aus Texten entfernen

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.

Lab starten und bei der Google Cloud Console anmelden

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

   • Schaltfläche „Google Cloud Console öffnen“
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich „Details zum Lab“.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein.

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren .

2. Klicken Sie sich durch die folgenden Fenster:

   • Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
   • Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.

Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

3. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:

gcloud auth list

4. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`

5. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:

gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Legen Sie eine Umgebungsvariable für Ihre Projekt-ID fest:

• Führen Sie in Cloud Shell den folgenden Befehl aus, um eine Umgebungsvariable für Ihre Projekt-ID festzulegen:

export PROJECT_ID=$DEVSHELL_PROJECT_ID

Aufgabe 1: String auf vertrauliche Daten prüfen

In diesem Abschnitt erfahren Sie, wie Sie mit dem Dienst einen Beispieltext mithilfe der REST-Methode projects.content.inspect untersuchen können. Die von Ihnen erstellte JSON-Datei enthält ein InspectConfig- und ein ContentItem-Objekt.

1. Verwenden Sie einen bevorzugten Editor (nano, vim usw.) oder Cloud Shell, um eine JSON-Anfragedatei mit folgendem Text zu erstellen, und speichern Sie sie als inspect-request.json.

{ "item":{ "value":"My phone number is (206) 555-0123." }, "inspectConfig":{ "infoTypes":[ { "name":"PHONE_NUMBER" }, { "name":"US_TOLLFREE_PHONE_NUMBER" } ], "minLikelihood":"POSSIBLE", "limits":{ "maxFindingsPerItem":0 }, "includeQuote":true } }

2. Rufen Sie über Ihr Konto ein Autorisierungstoken ab:

gcloud auth print-access-token

Ein sehr langer String wird zurückgegeben. Sie benötigen dieses Token für den nächsten Schritt.

Wenn Sie eine Fehlermeldung erhalten, dass kein Dienstkonto verwendet wird, warten Sie einige Minuten und führen Sie den Befehl noch einmal aus.

3. Verwenden Sie curl, um eine content:inspect-Anfrage zu stellen. Ersetzen Sie ACCESS_TOKEN dabei durch den String, der im vorherigen Schritt zurückgegeben wurde:

curl -s \ -H "Authorization: Bearer ACCESS_TOKEN" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/$PROJECT_ID/content:inspect \ -d @inspect-request.json -o inspect-output.txt Hinweis: Das passiert hier:

Zur Übergabe eines Dateinamens an curl verwenden Sie die Option -d (für „Daten“) und setzen Sie vor den Dateinamen ein @-Zeichen. Diese Datei sollte sich in demselben Verzeichnis befinden, in dem Sie den curl-Befehl ausführen.

Die curl-Antwort wird in der Datei inspect-output.txt gespeichert. Prüfen Sie die Ausgabe mit dem folgenden Befehl:

cat inspect-output.txt

Die Antwort sieht ungefähr so aus:

{ "result": { "findings": [ { "quote": "(206) 555-0123", "infoType": { "name": "PHONE_NUMBER" }, "likelihood": "LIKELY", "location": { "byteRange": { "start": "19", "end": "33" }, "codepointRange": { "start": "19", "end": "33" } }, "createTime": "2018-07-03T02:20:26.043Z" } ] } }

Ausgabe in Cloud Storage hochladen

Führen Sie den folgenden Befehl aus, um die curl-Antwort in Cloud Storage hochzuladen, damit die Validierung des Aktivitätstrackings möglich ist:

gsutil cp inspect-output.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}} String auf vertrauliche Daten prüfen

Aufgabe 2: Sensible Daten aus Texten entfernen

Die DLP API kann sensible Daten in Textdateien automatisch entfernen, anstatt Ihnen eine Liste mit Ergebnissen zu liefern.

Versuchen Sie, mithilfe des deidentifyConfig-Objekts eine JSON-Datei an die API zu senden, damit die vertraulichen Daten aus der Ausgabe entfernt werden.

1. Erstellen Sie eine neue JSON-Datei namens new-inspect-file.json, die Folgendes enthält:

{ "item": { "value":"My email is test@gmail.com", }, "deidentifyConfig": { "infoTypeTransformations":{ "transformations": [ { "primitiveTransformation": { "replaceWithInfoTypeConfig": {} } } ] } }, "inspectConfig": { "infoTypes": { "name": "EMAIL_ADDRESS" } } }

2. Verwenden Sie curl, um eine content:deidentify-Anfrage zu stellen (ACCESS_TOKEN wurde durch einen Befehl zum Ausgeben des Zugriffstokens ersetzt):

curl -s \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/$PROJECT_ID/content:deidentify \ -d @new-inspect-file.json -o redact-output.txt

Die curl-Antwort wird in der Datei redact-output.txt gespeichert. Prüfen Sie die Ausgabe mit dem folgenden Befehl:

cat redact-output.txt

Die Antwort sieht ungefähr so aus:

{ "item": { "value": "My email is [EMAIL_ADDRESS]" }, "overview": { "transformedBytes": "14", "transformationSummaries": [ { "infoType": { "name": "EMAIL_ADDRESS" }, "transformation": { "replaceWithInfoTypeConfig": {} }, "results": [ { "count": "1", "code": "SUCCESS" } ], "transformedBytes": "14" } ] } }

Sie haben nun Ihre erste Anfrage an die DLP API gesendet und vertrauliche Daten aus der Ausgabe entfernt.

Ausgabe in Cloud Storage hochladen

Führen Sie den folgenden Befehl aus, um die curl-Antwort in Cloud Storage hochzuladen, damit die Validierung des Aktivitätstrackings möglich ist:

gsutil cp redact-output.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}} Sensible Daten aus Textinhalten entfernen

Glückwunsch!

Sie haben die Cloud Data Loss Prevention (DLP) API verwendet, um sensible Daten in Textinhalten zu suchen und zu entfernen.

Weitere Informationen

Dieses Lab gehört zu der Reihe „Qwik Starts“. Die Labs geben Ihnen einen kleinen Vorgeschmack auf die vielen Funktionen von Google Cloud. In der Liste mit Qwik Starts im Lab-Katalog können Sie nach dem nächsten passenden Lab suchen.

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Handbuch zuletzt am 22. November 2024 aktualisiert

Lab zuletzt am 22. November 2024 getestet

© 2025 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.