Lab setup instructions and requirements

Protect your account and progress. Always use a private browser window and lab credentials to run this lab.

Cloud Data Loss Prevention API：Qwik Start

Lab 10 minutes universal_currency_alt 1 Credit show_chart Introductory

info This lab may incorporate AI tools to support your learning.

GSP107
設定和需求
工作 1：檢查字串是否含有敏感資訊
工作 2：遮蓋文字內容中的敏感資料
恭喜！

This content is not yet optimized for mobile devices.

For the best experience, please visit us on a desktop computer using a link sent by email.

GSP107

Google Cloud 自學實驗室

Cloud Data Loss Prevention (DLP) API 現已併入 Sensitive Data Protection，可讓您透過程式輔助方式，存取強大的偵測引擎，在非結構化資料串流中，找出個人識別資訊 (PII) 和其他涉及隱私的敏感資料。

DLP API 的分類功能快速且可擴充，並可視需要遮蓋敏感資料元素，例如信用卡號、姓名、身分證字號、護照號碼和電話號碼。這個 API 支援文字和圖片，只要將資料傳送至 API，或指定儲存在 Cloud Storage、BigQuery 和 Cloud Datastore 執行個體的資料即可。

在本實驗室，您將設定要分析的 JSON 檔案，並傳送至 DLP API，檢查資料字串是否含有敏感資訊並加以遮蓋。

課程內容

在本實驗室，您將使用 DLP API 執行下列操作：

檢查字串是否含有敏感資訊
遮蓋文字內容中的敏感資料

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：
- 「Open Google Cloud console」按鈕
- 剩餘時間
- 必須在這個研究室中使用的臨時憑證
- 完成這個實驗室所需的其他資訊 (如有)
點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

提示：您可以在不同的視窗中並排開啟分頁。
注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。
如有必要，請將下方的 Username 貼到「登入」對話方塊。
{{{user_0.username | "Username"}}}
您也可以在「Lab Details」窗格找到 Username。
點選「下一步」。
複製下方的 Password，並貼到「歡迎使用」對話方塊。
{{{user_0.password | "Password"}}}
您也可以在「Lab Details」窗格找到 Password。
點選「下一步」。
重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。
按過後續的所有頁面：
- 接受條款及細則。
- 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
- 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。「導覽選單」圖示和搜尋欄位

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示。
系統顯示視窗時，請按照下列步驟操作：
- 繼續操作 Cloud Shell 視窗。
- 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

(選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

(選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}}

注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

設定專案 ID 的環境變數

在 Cloud Shell 執行下列指令，設定專案 ID 的環境變數：

export PROJECT_ID=$DEVSHELL_PROJECT_ID

工作 1：檢查字串是否含有敏感資訊

本節說明如何使用 projects.content.inspect REST 方法，要求服務掃描範例文字。您建立的 JSON 檔案會包含 InspectConfig 和 ContentItem 物件。

使用您偏好的編輯器 (nano、vim 等) 或 Cloud Shell，建立包含下列文字的 JSON 要求檔案，並儲存為 inspect-request.json：

{ "item":{ "value":"My phone number is (206) 555-0123." }, "inspectConfig":{ "infoTypes":[ { "name":"PHONE_NUMBER" }, { "name":"US_TOLLFREE_PHONE_NUMBER" } ], "minLikelihood":"POSSIBLE", "limits":{ "maxFindingsPerItem":0 }, "includeQuote":true } }

使用您的帳戶取得授權權杖：

gcloud auth print-access-token

系統會傳回一段很長的字串，下一個步驟會用到這個權杖。

如果收到錯誤訊息，指出未使用任何服務帳戶，請稍候幾分鐘，然後重新執行指令。

使用 curl 建立 content:inspect 要求，並將 ACCESS_TOKEN 改成上一個步驟傳回的字串：

curl -s \ -H "Authorization: Bearer ACCESS_TOKEN" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/$PROJECT_ID/content:inspect \ -d @inspect-request.json -o inspect-output.txt

注意：以下說明指令的運作方式

如要將檔案名稱傳送給 curl，請使用 -d 選項 (代表「資料」)，並在檔案名稱前加上 @ 符號。這個檔案的所在目錄，應與您執行 curl 指令的所在目錄相同。

上述指令會將 curl 回應儲存至 inspect-output.txt 檔案。請使用下列指令檢查輸出內容：

cat inspect-output.txt

畫面會顯示類似下列內容的回應：

{ "result": { "findings": [ { "quote": "(206) 555-0123", "infoType": { "name": "PHONE_NUMBER" }, "likelihood": "LIKELY", "location": { "byteRange": { "start": "19", "end": "33" }, "codepointRange": { "start": "19", "end": "33" } }, "createTime": "2018-07-03T02:20:26.043Z" } ] } }

將輸出內容上傳至 Cloud Storage

執行下列指令，將 curl 回應上傳至 Cloud Storage，驗證活動追蹤功能：

gsutil cp inspect-output.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}}

檢查字串是否含有敏感資訊

工作 2：遮蓋文字內容中的敏感資料

DLP API 可自動遮蓋文字檔案中的敏感資料，而非提供發現項目清單。

請嘗試使用 deidentifyConfig 物件傳送 API JSON 檔案，遮蓋輸出內容中的敏感資訊。

建立名為 new-inspect-file.json 的新 JSON 檔案，並加入下列內容：

{ "item": { "value":"My email is test@gmail.com", }, "deidentifyConfig": { "infoTypeTransformations":{ "transformations": [ { "primitiveTransformation": { "replaceWithInfoTypeConfig": {} } } ] } }, "inspectConfig": { "infoTypes": { "name": "EMAIL_ADDRESS" } } }

使用 curl 建立 content:deidentify 要求 (ACCESS_TOKEN 已改成輸出存取權杖的指令)：

curl -s \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/$PROJECT_ID/content:deidentify \ -d @new-inspect-file.json -o redact-output.txt

這個指令會將 curl 回應儲存至 redact-output.txt 檔案。請使用下列指令檢查輸出內容：

cat redact-output.txt

畫面會顯示類似下列內容的回應：

{ "item": { "value": "My email is [EMAIL_ADDRESS]" }, "overview": { "transformedBytes": "14", "transformationSummaries": [ { "infoType": { "name": "EMAIL_ADDRESS" }, "transformation": { "replaceWithInfoTypeConfig": {} }, "results": [ { "count": "1", "code": "SUCCESS" } ], "transformedBytes": "14" } ] } }

您已將第一個要求傳送至 DLP API，並遮蓋輸出內容中的敏感資訊！

將輸出內容上傳至 Cloud Storage

執行下列指令，將 curl 回應上傳至 Cloud Storage，驗證活動追蹤功能：

gsutil cp redact-output.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}}

遮蓋文字內容中的敏感資料

恭喜！

您已成功使用 Cloud Data Loss Prevention (DLP) API 檢查文字內容，並遮蓋其中的敏感資料。

後續步驟/瞭解詳情

本實驗室屬於 Qwik Start 實驗室系列，旨在帶您一窺 Google Cloud 的眾多功能。歡迎在實驗室目錄查看「Qwik Starts」清單，看看接下來要參加哪個實驗室！

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 11 月 22 日

實驗室上次測驗日期：2024 年 11 月 22 日

Cloud Data Loss Prevention API：Qwik Start

GSP107

課程內容

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

如何開始研究室及登入 Google Cloud 控制台

啟動 Cloud Shell

設定專案 ID 的環境變數

工作 1：檢查字串是否含有敏感資訊

將輸出內容上傳至 Cloud Storage

工作 2：遮蓋文字內容中的敏感資料

將輸出內容上傳至 Cloud Storage

恭喜！

後續步驟/瞭解詳情

Google Cloud 教育訓練與認證

Before you begin

Use private browsing

Sign in to the Console

Use private browsing to run the lab