Rozszerzenie Google Cloud Data Loss Prevention

Wyświetlasz dokumentację Apigee Edge.
Przejdź do dokumentacji Apigee X. info

Wersja: 1.2.0

Użyj tego rozszerzenia, aby ukryć dane wrażliwe w treściach i obrazach. Możesz na przykład zamaskować numery kart kredytowych, imiona i nazwiska oraz numery PESEL.

Te treści zawierają informacje o konfigurowaniu i używaniu tego rozszerzenia. Informacje o konfiguracji tego rozszerzenia znajdziesz w sekcji Odwołanie do konfiguracji.

Wymagania wstępne

Te treści zawierają informacje o konfigurowaniu i używaniu tego rozszerzenia. Zanim zaczniesz korzystać z rozszerzenia w proxy interfejsu API za pomocą zasady ExtensionCallout, musisz:

  1. włączyć Google Cloud DLP API w projekcie;

  2. przyznać uprawnienia do poziomu dostępu, który chcesz przyznać rozszerzeniu;

  3. wygenerować klucz konta usługi w konsoli GCP.

  4. podczas dodawania i konfigurowania rozszerzenia użyć treści wynikowego pliku JSON z kluczem, korzystając z odwołania do konfiguracji.

Informacje o Cloud Data Loss Prevention (DLP)

Cloud Data Loss Prevention (DLP) to interfejs API do sprawdzania tekstu, obrazów i innych danych w celu identyfikowania danych wrażliwych i zarządzania nimi.

Więcej informacji znajdziesz w omówieniu DLP. Informacje o interfejsie API, który udostępnia to rozszerzenie, znajdziesz w artykule Cloud Data Loss Prevention (DLP) API.

Przykłady

Z poniższych przykładów dowiesz się, jak skonfigurować obsługę działań rozszerzenia DLP za pomocą zasady ExtensionCallout.

Aby ułatwić wypróbowanie tego przykładowego kodu, w tych przykładach używamy zasady AssignMessage do ustawiania wartości zmiennych przepływu i pobierania wartości odpowiedzi rozszerzenia w celu wyświetlenia ich w narzędziu Trace.

Maskowanie gwiazdkami

W tym przykładzie używamy działania deidentifyWithMask do maskowania określonych typów tekstu za pomocą znaku określonego w zasadzie – w tym przypadku znaku *.

Poniższa zasada AssignMessage ustawia zmienną request.content na potrzeby ilustracji. Zwykle treść żądania pobierasz z żądania klienta.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<AssignMessage async="false" continueOnError="false" enabled="true" name="Set-Variable">
    <DisplayName>Set Variable</DisplayName>
    <AssignTo type="response" createNew="false"/>
    <AssignVariable>
        <Name>request.content</Name>
        <Value>Visit my site at https://example.com. Or contact me at gladys@example.com.</Value>
    </AssignVariable>
</AssignMessage>

Poniższa zasada ExtensionCallout pobiera wartość zmiennej request.content i przekazuje ją do rozszerzenia Cloud DLP (w tym przypadku o nazwie example-dlp). To rozszerzenie zostało skonfigurowane tak, aby maskować wartości na podstawie obiektów infoType URL i EMAIL_ADDRESS infoTypes.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ConnectorCallout async="false" continueOnError="true" enabled="true" name="Data-Loss-Extension-Callout">
    <DisplayName>Data Loss Prevention Extension Callout</DisplayName>
    <Connector>example-dlp</Connector>
    <Action>deidentifyWithMask</Action>
    <Input><![CDATA[{
        "text" : "{request.content}",
        "mask" : "*"
    }]]></Input>
    <Output>masked.output</Output>
</ConnectorCallout>

Poniższa zasada AssignMessage pobiera dane wyjściowe rozszerzenia w celu wyświetlenia ich w narzędziu Trace.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<AssignMessage async="false" continueOnError="false" enabled="true" name="Get-DLP-Output">
    <DisplayName>Get DLP Output</DisplayName>
    <AssignTo type="response" createNew="false"/>
    <Set>
        <Payload contentType="application/json">{masked.output}</Payload>
    </Set>
</AssignMessage>

Poniżej znajdziesz przykład danych wyjściowych tego kodu.

{"text":"Visit my site at ******************* Or contact me at *****************."}

Maskowanie nazwą

W tym przykładzie używamy działania deidentifyWithType do maskowania określonych typów tekstu za pomocą samej nazwy obiektu infoType. Na przykład adres e-mail gladys@example.com zostanie zastąpiony ciągiem EMAIL_ADDRESS.

Poniższa zasada AssignMessage ustawia zmienną request.content na potrzeby ilustracji. Zwykle treść żądania pobierasz z żądania klienta.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<AssignMessage async="false" continueOnError="false" enabled="true" name="Set-Variable">
    <DisplayName>Set Variable</DisplayName>
    <AssignTo type="response" createNew="false"/>
    <AssignVariable>
        <Name>request.content</Name>
        <Value>Visit my site at https://example.com. Or contact me at gladys@example.com.</Value>
    </AssignVariable>
</AssignMessage>

Poniższa zasada ExtensionCallout pobiera wartość zmiennej request.content i przekazuje ją do rozszerzenia Cloud DLP (w tym przypadku o nazwie example-dlp). To rozszerzenie zostało skonfigurowane tak, aby maskować wartości na podstawie obiektów infoType URL i EMAIL_ADDRESS infoTypes.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ConnectorCallout async="false" continueOnError="true" enabled="true" name="Data-Loss-Extension-Callout">
    <DisplayName>Data Loss Prevention Extension Callout</DisplayName>
    <Connector>example-dlp</Connector>
    <Action>deidentifyWithType</Action>
    <Input><![CDATA[{
        "text" : "{request.content}"
    }]]></Input>
    <Output>masked.output</Output>
</ConnectorCallout>

Poniższa zasada AssignMessage pobiera dane wyjściowe rozszerzenia w celu wyświetlenia ich w narzędziu Trace.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<AssignMessage async="false" continueOnError="false" enabled="true" name="Get-DLP-Output">
    <DisplayName>Get DLP Output</DisplayName>
    <AssignTo type="response" createNew="false"/>
    <Set>
        <Payload contentType="application/json">{masked.output}</Payload>
    </Set>
</AssignMessage>

Poniżej znajdziesz przykład danych wyjściowych tego kodu.

{"text":"Visit my site at [URL] Or contact me at [EMAIL_ADDRESS]."}

Działania

deidentifyWithMask

Deidentyfikuje dane wrażliwe z text i maskuje je za pomocą znaku mask. To działanie maskuje te części text, które są określone przez właściwość infoTypes w konfiguracji rozszerzenia.

Maskowanie danych wrażliwych polega na zastępowaniu znaków symbolem, np. gwiazdką (*) lub krzyżykiem (#). Typy danych wrażliwych można skonfigurować w konfiguracji rozszerzenia.

Składnia

<Action>deidentifyWithMask</Action>
<Input><![CDATA[{
  "text" : "text-to-deidentify",
  "mask" : "masking-character"
}]]></Input>

Przykład

W poniższym przykładzie dane wejściowe do zamaskowania to adres e-mail przechowywany w zmiennej przepływu input.email.address. Aby obsługiwać ten konkretny przykład, to rozszerzenie musi być skonfigurowane do obsługi obiektu infoType EMAIL_ADDRESS. Listę obiektów infoType znajdziesz w artykule Odwołanie do detektora obiektów infoType.

<Action>deidentifyWithMask</Action>
<Input><![CDATA[{
    "text" : "{input.email.address}",
    "mask" : "*"
}]]></Input>
<Output>masked.output</Output>

Dane wyjściowe tego przykładu będą wyglądać tak:

{"text":"*****************"}

Parametry żądania

Parametr Opis Typ Domyślny Wymagane
text Tekst do deidentyfikacji. Ciąg znaków Brak. Tak.
mask Znak używany do maskowania danych wrażliwych. Ciąg znaków Brak. Tak.

Odpowiedź

Tekst wejściowy z wartościami określonych obiektów infoType zastąpionymi określonym znakiem. Na przykład:

{"text":"*********"}

deidentifyWithType

Deidentyfikuje dane wrażliwe w treści tekstowej, zastępując każdą pasującą wartość nazwą obiektu infoType. Listę obiektów infoType znajdziesz w artykule Odwołanie do detektora obiektów infoType. To działanie maskuje te części text, które są określone przez właściwość infoTypes w konfiguracji rozszerzenia.

W poniższym przykładzie usługa rozpoznaje numer telefonu, a następnie zastępuje go nazwą obiektu infoType.

  • Wprowadzany tekst:

    John Smith, 123 Main St, Seattle, WA 98122, 206-555-0123.

  • Tekst wynikowy:

    John Smith, 123 Main St, Seattle, WA 98122, PHONE_NUMBER.

Składnia

<Action>deidentifyWithType</Action>
<Input><![CDATA[{
  "text" : "text-to-deidentify"
}]]></Input>

Przykład

W poniższym przykładzie dane wejściowe do zamaskowania to adres e-mail przechowywany w zmiennej przepływu input.email.address. Aby obsługiwać ten konkretny przykład, to rozszerzenie musi być skonfigurowane do obsługi obiektu infoType EMAIL_ADDRESS. Listę obiektów infoType znajdziesz w artykule Odwołanie do detektora obiektów infoType.

<Action>deidentifyWithType</Action>
<Input><![CDATA[{
    "text" : "{input.email.address}"
}]]></Input>

Dane wyjściowe tego przykładu będą wyglądać tak:

{"text":"EMAIL_ADDRESS"}

Parametry żądania

Parametr Opis Typ Domyślny Wymagane
text Tekst do deidentyfikacji. Ciąg znaków Brak. Tak.

Odpowiedź

Tekst wejściowy z wartościami określonych obiektów infoType zastąpionymi nazwami tych obiektów. Na przykład:

{"text":"EMAIL_ADDRESS"}

redactImage

Redaguje tekst, który należy do jednej z kategorii obiektów infoType. Zredagowana treść jest wykrywana i zasłaniana nieprzezroczystym prostokątem. To działanie maskuje te części image_data, które są określone przez właściwość infoTypes w konfiguracji rozszerzenia.

Listę obiektów infoType znajdziesz w artykule Odwołanie do detektora obiektów infoType.

Parametry żądania

<Action>redactImage</Action>
<Input><![CDATA[{
  "image_data" : "base64-encoded-image-to-analyze",
  "image_type" : "type-of-image"
}]]></Input>
Parametr Opis Typ Domyślny Wymagane
image_data Dane obrazu zakodowane w formacie Base64. Ciąg znaków Brak. Tak.
image_type Stała typu obrazu. Dostępne wartości to IMAGE_JPEG, IMAGE_BMP, IMAGE_PNG, IMAGE_SVG. Ciąg znaków Brak. Tak.

Odpowiedź

Obraz z zredagowanym tekstem.

Odwołanie do konfiguracji

Podczas konfigurowania i wdrażania tego rozszerzenia do użytku w proxy interfejsu API użyj tych informacji. Aby dowiedzieć się, jak skonfigurować rozszerzenie za pomocą konsoli Apigee, przeczytaj artykuł Dodawanie i konfigurowanie rozszerzenia.

Wspólne właściwości rozszerzenia

Dla każdego rozszerzenia dostępne są poniższe właściwości.

Usługa Opis Domyślnie Wymagany
name Nazwa nadana konfiguracji rozszerzenia. Brak Tak
packageName Nazwa pakietu rozszerzeń podana przez Apigee Edge. Brak Tak
version Numer wersji pakietu rozszerzenia, z którego konfigurujesz rozszerzenie. Brak Tak
configuration Wartość konfiguracji specyficzna dla dodawanego rozszerzenia. Zobacz Właściwości tego pakietu rozszerzeń Brak Tak

Właściwości tego pakietu rozszerzenia

Określ wartości tych właściwości konfiguracji, które są specyficzne dla tego rozszerzenia.

Właściwość Opis Domyślny Wymagane
projectId Identyfikator projektu GCP, w którym jest włączony Cloud Data Loss Prevention API. Brak. Tak.
infoTypes Typy informacji o danych wrażliwych. Jeśli pominiesz tę właściwość, usługa wykryje wszystkie wbudowane typy. Listę obiektów infoType obsługiwanych przez usługę Google Cloud DLP znajdziesz w artykule Odwołanie do detektora obiektów infoType. Brak. Nie.
credentials Jeśli wpiszesz tę wartość w konsoli Apigee Edge, będzie to zawartość pliku klucza konta usługi. Jeśli wyślesz ją za pomocą Management API, będzie to wartość zakodowana w formacie Base64 wygenerowana na podstawie pliku klucza konta usługi. Brak. Tak.