什麼是資料遺失防護 API
Google Cloud Platform 提供的資料遺失防護 (DLP) API提供以下三種操作來保護敏感資料:
- 密文:密文是從文字、圖像或其他類型的內容中模糊或刪除敏感資料的過程。當您編輯敏感資料時,某人將很難或不可能識別資料中的個人。DLP API 支援多種編輯技術,包括屏蔽、標記化和加密。
- 去識別化:去識別化是修改敏感資料以使其不再可識別個人身份的過程。這可以透過用假名或概括替換姓名、日期或其他識別資訊來完成。去身分化使得資料很難與特定個人連結起來,但它並不能保證資料是匿名的。DLP API 支援多種去識別技術,包括假名化、泛化和抑制。
- 匿名化:匿名化是轉換敏感資料的過程,以便不再能夠識別資料中的個人。這可以透過使用 k-匿名、差分隱私或同態加密等技術來完成。匿名化是最強而有力的隱私保護形式,但也可能是最難實現的。DLP API 不直接支援匿名化,但您可以使用它來實現自己的匿名化邏輯。
在 DLP API 的上下文中,下表總結了編輯、去識別和匿名化之間的主要區別:
選擇使用哪種操作取決於特定的業務需求。如果您需要保護敏感資料免遭未經授權的訪問,編輯可能就足夠了。但是,如果您需要遵守 GDPR 或 HIPAA 等隱私法規,則可能需要對資料進行去識別化或匿名化處理。
DLP API 提供了多種功能來幫助您選擇適合您需求的操作。您可以使用 DLP API 來:
- 識別敏感資料:DLP API 可以幫助您識別資料集中的敏感資料。該 API 包括一個內建偵測器庫,用於偵測常見類型的敏感數據,例如信用卡號、社會安全號碼和個人識別資訊 (PII)。您也可以為特定類型的敏感資料建立自己的自訂偵測器。
- 對敏感資料進行分類:識別出敏感資料後,您可以根據其敏感度等級進行分類。這將幫助您確定要應用的適當的隱私保護措施。
- 保護敏感資料:DLP API 提供了多種保護敏感資料的技術,包括編輯、去識別化和匿名化。您可以根據資料的敏感程度和應用程式的隱私要求選擇適合您需求的技術。
- 監控和審核敏感資料:DLP API 可以幫助您監控和審核敏感資料。這將幫助您確保資料得到正確保護。
DLP API 是保護敏感資料的強大工具。透過使用 DLP API,您可以遵守隱私法規、保護客戶的隱私並降低資料外洩的風險。請參閱程式碼範例以取得一些快速參考。
以下是使用適用於 Google Cloud 的 ABAP SDK 來使用 DLP API 來執行電子郵件 ID去識別場景的快速入門。
本快速入門指南中的設定步驟假設 SAP 系統託管在 Google 雲端平台上。
若要詳細了解 Google Cloud Platform 外部託管的 SAP 系統的身份驗證步驟,請參閱文件“使用 Google Cloud 外部託管的 SAP 的令牌進行身份驗證”
在你開始之前
在執行此快速入門之前,請確保您或您的管理員已完成以下先決條件:
- 您有一個 Google Cloud 帳戶和項目。請隨身攜帶項目 ID,該 ID 可在 Google Cloud Dashboard中找到。
- 您的項目已啟用計費。了解如何確認您的項目已啟用計費。
啟用所需的服務
- 點擊Google Cloud 控制台頂部的啟動 Cloud Shell以開啟 Cloud Shell。我們將使用 Cloud Shell 來運行所有命令。
- 啟用 ABAP SDK 存取 Google 服務(將字串替換
PROJECT_ID為您的 Google Cloud 專案 ID)
gcloud 驗證登入
gcloud 設定集專案 PROJECT_ID
gcloud 服務啟用iamcredentials.googleapis.com
gcloud 服務啟用dlp.googleapis.com配置 DLP 存取的客戶端金鑰
ABAP SDK 將使用下列設定來連接到秘密管理器 API。
- 前往 SPRO > ABAP SDK for Google Cloud > 基本設定 > 配置客戶端金鑰並新增下列新項目。(將該字串替換
PROJECT_ID為您的 Google Cloud 項目 ID)
Google Cloud 金鑰名稱: DEMO_DLP
Google 雲端服務帳號名稱: abap-sdk-qs@
PROJECT_ID.iam.gserviceaccount.comGoogle雲端範圍: https: //www.googleapis.com/auth/cloud-platform
谷歌雲端專案標識符:
PROJECT_ID授權類: /GOOG/CL_AUTH_GOOGLE
注意將其他欄位留空
- 使用 SPRO > ABAP SDK for Google Cloud > 公用工具 > 驗證驗證配置來驗證設定「DEMO_DLP」。
為範例去識別場景建立一個程式。
- 在 SE38 中建立程式並貼上以下程式碼 ( Github Repo ),該程式碼從文字中移除電子郵件 ID,並將其替換為通用字串。
- 注意:以下程式中使用的客戶端金鑰將由
DEMO_DLPSDK 用於連接到 API。
報告 zr_qs_dlp_deidentify。
" 資料宣告
DATA:
lv_p_projects_id TYPE string,
ls_input TYPE /goog/cl_dlp_v2=>ty_055, ls_transformations TYPE /goog/cl_dlp_v2=>ty_100. TRY。客戶端化 api
值/cl_Dlp_v2=>ty_100.
TRY。 客戶端化。 _key_name = ' DLP_V2')。" 傳遞用於去識別的範例文字 lv_p_projects_id = lo_dlp->gv_project_id。 將 VALUE #( name = 'EMAIL_ADDRESS' ) INTO TABLE ls_input-inspect_config- info_types。ls_transformations-primitive_transformation-profal_al- info_types。ls_transformations-primitive_transformation.
ls_input-item-value = 'Foo 先生的電子郵件 ID 是 foobar@example.com'.
" 呼叫 api 方法進行去識別
CALL METHOD lo_dlp->deidentify_content
EXPORTING
iv_p_projects_id = lv_p_projects_id
is_input = ls_input
IMPORTING es_output = DATA
(ls_output) everrev_Dmput)( p = DATA (ls_err_ resp). IF lo_dlp- > is_success( lv_ret_code ). WRITE: / '去辨識成功'. WRITE: / '被取代的文字是: ', ls_output-item-value. ELSE. MESSAGE lv_err_text TYPE 'E'.
" 關閉 http 連接
lo_dlp->close( ).
CATCH /goog/cx_sdk INTO DATA(lo_exception)。
" 在此編寫程式碼來處理異常
MESSAGE lo_exception->get_text( ) 類型 'E'。
ENDTRY.銷售訂單標題文字範例讓我們看看 DLP 的實際應用!以下是一個範例,其中 DLP API 用於從銷售訂單標題文字中移除個人識別資訊 (PII),以防使用者輸入相同資訊。
清理
為了清理,請停用該服務以避免任何使用。
gcloud 服務停用dlp.googleapis.com --force結論和後續步驟
希望這篇文章能讓您快速了解如何將資料遺失防護 API 與適用於 Google Cloud 的 ABAP SDK 結合使用。
準備好開始使用 Google Cloud 的 ABAP SDK 了嗎?
為適用於 Google Cloud 的 ABAP SDK 的新增功能新增書籤以取得最新公告,並遵循安裝和設定說明。
查看這些部落格文章,開始使用 Google Cloud 的 ABAP SDK
- 此部落格介紹如何在 Google Cloud Platform 上使用 ABAP Platform Trial 1909 評估適用於 Google Cloud 的 ABAP SDK。
- 閱讀這篇部落格文章,搶先了解如何使用適用於 Google Cloud 的 ABAP SDK 自動執行 SAP 中的銷售訂單輸入等業務流程。
- 這篇部落格是了解 BigQuery ML 的一個很好的開始,BigQuery ML 是一項功能強大的機器學習服務,可讓您使用 SQL 查詢建立和部署模型。現在可以使用適用於 Google Cloud 的 ABAP SDK 進行存取。
- 閱讀這篇博文,了解如何將 Secret Manager 與 ABAP SDK 結合使用。
- 請同時查看有關 ABAP SDK程式碼精靈和應用程式日誌記錄的部落格文章,這是作為 ABAP SDK 的一部分提供的眾多工程卓越成果之一。
沒有留言:
張貼留言