GSP107

Cloud Data Loss Prevention (DLP) API 現已併入 Sensitive Data Protection，可讓您透過程式輔助方式，存取強大的偵測引擎，在非結構化資料串流中，找出個人識別資訊 (PII) 和其他隱私權私密資料。

DLP API 的分類功能快速且可擴充，並可視需要遮蓋私密資料元素，例如信用卡號碼、姓名、身分證字號、護照號碼和電話號碼。這個 API 支援文字和圖片，只要將資料傳送至 API，或指定儲存在 Cloud Storage、BigQuery 和 Cloud Datastore 執行個體的資料即可。

在本實驗室，您將設定要分析的 JSON 檔案，並傳送至 DLP API，檢查資料字串是否含有私密資訊並加以遮蓋。

課程內容

在本實驗室，您將使用 DLP API 執行下列操作：

• 檢查字串是否含有私密資訊
• 遮蓋文字內容中的私密資料

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

2. 系統顯示視窗時，請按照下列步驟操作：

   • 繼續操作 Cloud Shell 視窗。
   • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

3. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

4. 點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

設定專案 ID 的環境變數

• 在 Cloud Shell 執行下列指令，設定專案 ID 的環境變數：

export PROJECT_ID=$DEVSHELL_PROJECT_ID

工作 1：檢查字串是否含有私密資訊

本節說明如何使用 projects.content.inspect REST 方法，要求服務掃描文字範例。您建立的 JSON 檔案包含 InspectConfig 和 ContentItem 物件。

1. 使用您偏好的編輯器 (nano、vim 等) 或 Cloud Shell，建立包含下列文字的 JSON 要求檔案，並儲存為 inspect-request.json：

{ "item":{ "value":"My phone number is (206) 555-0123." }, "inspectConfig":{ "infoTypes":[ { "name":"PHONE_NUMBER" }, { "name":"US_TOLLFREE_PHONE_NUMBER" } ], "minLikelihood":"POSSIBLE", "limits":{ "maxFindingsPerItem":0 }, "includeQuote":true } }

2. 使用您的帳戶取得授權權杖：

gcloud auth print-access-token

系統會傳回一則很長的字串，下一個步驟會用到這個權杖。

如果收到錯誤訊息，指出沒有使用任何服務帳戶，請稍候幾分鐘，然後再次執行指令。

3. 使用 curl 建立 content:inspect 要求，並將 ACCESS_TOKEN 替換為上一個步驟傳回的字串：

curl -s \ -H "Authorization: Bearer ACCESS_TOKEN" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/$PROJECT_ID/content:inspect \ -d @inspect-request.json -o inspect-output.txt 注意：以下說明指令的運作方式

如要將檔案名稱傳送給 curl，請使用 -d 選項 (針對「資料」)，並在檔案名稱前加上 @ 符號。這個檔案的所在目錄，應與您執行 curl 指令的所在目錄相同。

這一步驟會將 curl 回應儲存至 inspect-output.txt 檔案。請使用下列指令檢查輸出內容：

cat inspect-output.txt

畫面會顯示類似以下的回應：

{ "result": { "findings": [ { "quote": "(206) 555-0123", "infoType": { "name": "PHONE_NUMBER" }, "likelihood": "LIKELY", "location": { "byteRange": { "start": "19", "end": "33" }, "codepointRange": { "start": "19", "end": "33" } }, "createTime": "2018-07-03T02:20:26.043Z" } ] } }

將輸出內容上傳至 Cloud Storage

執行下列指令，將 curl 回應上傳至 Cloud Storage，驗證活動追蹤功能：

gsutil cp inspect-output.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}} 檢查字串是否含有私密資訊

工作 2：遮蓋文字內容中的私密資料

DLP API 可自動遮蓋文字檔案中的私密資料，而非提供發現項目清單。

請嘗試使用 deidentifyConfig 物件傳送 API JSON 檔案，遮蓋輸出內容中的私密資訊。

1. 建立名為 new-inspect-file.json 的新 JSON 檔案，並加入下列內容：

{ "item": { "value":"My email is test@gmail.com", }, "deidentifyConfig": { "infoTypeTransformations":{ "transformations": [ { "primitiveTransformation": { "replaceWithInfoTypeConfig": {} } } ] } }, "inspectConfig": { "infoTypes": { "name": "EMAIL_ADDRESS" } } }

2. 使用 curl 建立 content:deidentify 要求 (ACCESS_TOKEN 已替換為列印存取權杖的指令)：

curl -s \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/$PROJECT_ID/content:deidentify \ -d @new-inspect-file.json -o redact-output.txt

這會將 curl 回應儲存至 redact-output.txt 檔案。請使用下列指令檢查輸出內容：

cat redact-output.txt

畫面會顯示類似以下的回應：

{ "item": { "value": "My email is [EMAIL_ADDRESS]" }, "overview": { "transformedBytes": "14", "transformationSummaries": [ { "infoType": { "name": "EMAIL_ADDRESS" }, "transformation": { "replaceWithInfoTypeConfig": {} }, "results": [ { "count": "1", "code": "SUCCESS" } ], "transformedBytes": "14" } ] } }

您已將第一個要求傳送至 DLP API，並遮蓋輸出內容中的私密資訊！

將輸出內容上傳至 Cloud Storage

執行下列指令，將 curl 回應上傳至 Cloud Storage，驗證活動追蹤功能：

gsutil cp redact-output.txt gs://{{{project_0.startup_script.gcs_bucket_name|bucket_name_filled_after_lab_start}}} 遮蓋文字內容中的私密資料

恭喜！

您使用 Cloud Data Loss Prevention (DLP) API 檢查了文字內容，並遮蓋了其中的私密資料。

後續步驟/瞭解詳情

本實驗室屬於 Qwik Start 實驗室系列，旨在帶您一窺 Google Cloud 的眾多功能。歡迎在實驗室目錄查看「Qwik Starts」清單，看看接下來要參加哪個實驗室！

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 11 月 22 日

實驗室上次測驗日期：2024 年 11 月 22 日

Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。