Envía los resultados de la inspección a Knowledge Catalog como aspectos

En este documento, se describe cómo inspeccionar una tabla de BigQuery en busca de datos sensibles y enviar los resultados de la inspección a Knowledge Catalog. Esta acción agrega automáticamente un aspecto a la entrada de Knowledge Catalog que está asociada con tu tabla de BigQuery.

En este documento, también se proporcionan consultas de ejemplo que puedes usar para encontrar datos en tu organización y proyectos con valores de aspecto específicos.

Esta función es útil si deseas enriquecer tus metadatos en Knowledge Catalog con clasificaciones de datos sensibles de los trabajos de inspección de Sensitive Data Protection.

Los aspectos generados incluyen los siguientes detalles:

  • El nombre del trabajo de inspección
  • Los tipos de información (infoTypes) que se detectaron en la tabla

Acerca de Knowledge Catalog

Knowledge Catalog proporciona un inventario unificado de Google Cloud recursos.

Knowledge Catalog te permite usar aspectos para agregar metadatos empresariales y técnicos a tus datos para capturar el contexto y el conocimiento sobre tus recursos. Luego, puedes buscar y descubrir datos en toda tu organización y habilitar la administración de datos sobre tus recursos de datos. Para obtener más información, consulta Aspectos.

Cómo funciona

Para crear automáticamente aspectos de Knowledge Catalog en función de los resultados del trabajo de inspección, sigue este flujo de trabajo de alto nivel:

  1. Crea o edita un trabajo de inspección que inspeccione una tabla de BigQuery. Si deseas obtener instrucciones, consulta Inspecciona una tabla de BigQuery table.

  2. En el paso Agregar acciones, habilita Publicar en Dataplex Universal Catalog.

Sensitive Data Protection agrega o actualiza el Sensitive Data Protection job result aspecto de la entrada de Knowledge Catalog asociada con la tabla de BigQuery. Luego, puedes buscar en Knowledge Catalog todos los datos de tu organización o proyecto con valores de aspecto específicos. Para obtener consultas de ejemplo, consulta Consultas de búsqueda de ejemplo en este documento.

El aspecto de Knowledge Catalog resultante se almacena en el mismo proyecto y región que la tabla de BigQuery.

Campos de aspecto

El aspecto Sensitive Data Protection job result tiene los siguientes campos:

Nombre del trabajo
El nombre completo del recurso del trabajo de inspección, por ejemplo, projects/example-project/locations/us/dlpJobs/i-8992079400000000000.
Recuentos de Infotipos
Nombres de Infotipos que buscó el trabajo de inspección, como se especifica en la configuración de inspección, y el recuento de hallazgos para cada Infotipo. Un Infotipo que no tiene resultados tiene un recuento de 0.
Hora de finalización
La fecha y hora en que finalizó el trabajo de inspección.
Es un análisis completo
Indica si el trabajo de inspección analizó todas las filas de la tabla. Si el muestreo está habilitado en el trabajo de inspección, por ejemplo, el valor de este campo es False.
Tiene resultados
Indica si el trabajo de inspección detectó alguno de los Infotipos que analizó.

Habilitar la API de Dataplex

La API de Dataplex debe estar habilitada en cada proyecto que contenga datos para los que deseas agregar aspectos. En esta sección, se describe cómo habilitar la API de Dataplex en un solo proyecto o en todos los proyectos de una organización o carpeta.

Habilita la API de Dataplex en un solo proyecto

  1. Selecciona el proyecto en el que deseas habilitar la API de Dataplex.

    Ir al selector de proyectos

  2. Habilitar la API de Dataplex

    Roles necesarios para habilitar las APIs

    Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles.

    Habilitar la API

Habilita la API de Dataplex en todos los proyectos de una organización o carpeta

En esta sección, se proporciona una secuencia de comandos que busca todos los proyectos de una organización o carpeta y habilita la API de Dataplex en cada uno de esos proyectos.

Para obtener los permisos que necesitas para habilitar la API de Dataplex en todos los proyectos de una organización o carpeta, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para habilitar la API de Dataplex en todos los proyectos de una organización o carpeta. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para habilitar la API de Dataplex en todos los proyectos de una organización o carpeta:

  • Para buscar todos los proyectos de una organización o carpeta: cloudasset.assets.searchAllResources en la organización o carpeta
  • Para habilitar la API de Dataplex: serviceusage.services.use en cada proyecto en el que deseas habilitar la API de Dataplex

También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.

Para habilitar la API de Dataplex en todos los proyectos de una organización o carpeta, sigue estos pasos:

  1. En la Google Cloud consola de, activa Cloud Shell.

    Activa Cloud Shell

    En la parte inferior de la Google Cloud consola de Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. Ejecuta la siguiente secuencia de comandos:

    #!/bin/bash

RESOURCE_ID="RESOURCE_ID"

gcloud asset search-all-resources \
    --scope="RESOURCE_TYPE/$RESOURCE_ID" \
    --asset-types="cloudresourcemanager.googleapis.com/Project" \
    --format="value(name)" |
    while read project_name; do
      project_id=$(echo "$project_name" | sed 's|.*/||')
      gcloud services enable "dataplex.googleapis.com" --project="$project_id"
    done

    Reemplaza lo siguiente:

    • RESOURCE_ID: El número de organización o el número de carpeta del recurso que contiene los proyectos
    • RESOURCE_TYPE: El tipo de recurso que contiene los proyectos: organizations o folders

Roles y permisos para ver aspectos

Para obtener los permisos que necesitas para buscar aspectos asociados con tu tabla de BigQuery, pídele a tu administrador que te otorgue los siguientes roles de IAM en la tabla:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para buscar aspectos asociados con tu tabla de BigQuery. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para buscar aspectos asociados con tu tabla de BigQuery:

  • Ver entradas de Knowledge Catalog:
    • dataplex.entries.list
    • dataplex.entries.get
  • Ver conjuntos de datos y tablas de BigQuery:
    • bigquery.datasets.get
    • bigquery.tables.get

También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.

Para obtener más información sobre los permisos necesarios para usar Knowledge Catalog, consulta Permisos de IAM de Knowledge Catalog.

Configura y ejecuta un trabajo de inspección de Sensitive Data Protection

Puedes configurar y ejecutar un trabajo de inspección de Sensitive Data Protection con la Google Cloud consola o la API de DLP.

Console

  1. En la Google Cloud consola de, ve a la página Crear trabajo o activador de trabajo.

    Ir a Crear trabajo o activador de trabajo

  2. Elige tu proyecto.
  3. Ingresa los detalles necesarios del trabajo de inspección y los detalles de la tabla de BigQuery que deseas inspeccionar. Si deseas obtener instrucciones, consulta Inspecciona una tabla de BigQuery. Para obtener una lista completa de los tipos de información que Sensitive Data Protection puede inspeccionar, consulta la Referencia del detector de Infotipos.
  4. En Agregar acciones, habilita Publicar en Dataplex Universal Catalog.
  5. Haz clic en Crear. El trabajo se ejecuta de inmediato.

REST

En el siguiente ejemplo, se envía una projects.locations.dlpJobs.create solicitud para inspeccionar una tabla de BigQuery y enviar los resultados a Knowledge Catalog.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: Es el ID del Google Cloud proyecto. Los IDs de proyecto son cadenas alfanuméricas.
  • LOCATION: Es la región o multirregión en la que deseas procesar la solicitud, por ejemplo, europe-west1 o us. Para obtener las ubicaciones disponibles, consulta Ubicaciones de Sensitive Data Protection.
  • BIGQUERY_DATASET_NAME: Es el nombre del conjunto de datos de BigQuery que contiene la tabla que se inspeccionará.
  • BIGQUERY_TABLE_NAME: Es el nombre de la tabla de BigQuery que se inspeccionará.

Método HTTP y URL: 

POST https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/LOCATION/dlpJobs

Cuerpo JSON de la solicitud: 

{
              "inspectJob":
              {
                "storageConfig":
                {
                  "bigQueryOptions":
                  {
                    "tableReference":
                    {
                      "projectId": "PROJECT_ID",
                      "datasetId": "BIGQUERY_DATASET_NAME",
                      "tableId": "BIGQUERY_TABLE_NAME"
                    }
                  }
                },
                "inspectConfig":
                {
                  "infoTypes":
                  [
                    {
                      "name": "EMAIL_ADDRESS"
                    },
                    {
                      "name": "PERSON_NAME"
                    },
                    {
                      "name": "US_SOCIAL_SECURITY_NUMBER"
                    },
                    {
                      "name": "PHONE_NUMBER"
                    }
                  ],
                  "includeQuote": true,
                  "minLikelihood": "UNLIKELY",
                  "limits":
                  {
                    "maxFindingsPerRequest": 100
                  }
                },
                "actions":
                [
                  {
                    "publishFindingsToDataplexCatalog": {}
                  }
                ]
              }
            }

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/PROJECT_ID/locations/LOCATION/dlpJobs/JOB_ID",
  "type": "INSPECT_JOB",
  "state": "PENDING",
  "inspectDetails": {
    "requestedOptions": {
      "snapshotInspectTemplate": {},
      "jobConfig": {
        "storageConfig": {
          "bigQueryOptions": {
            "tableReference": {
              "projectId": "PROJECT_ID",
              "datasetId": "BIGQUERY_DATASET_NAME",
              "tableId": "BIGQUERY_TABLE_NAME"
            }
          }
        },
        "inspectConfig": {
          "infoTypes": [
            {
              "name": "EMAIL_ADDRESS"
            },
            {
              "name": "PERSON_NAME"
            },
            {
              "name": "US_SOCIAL_SECURITY_NUMBER"
            },
            {
              "name": "PHONE_NUMBER"
            }
          ],
          "minLikelihood": "UNLIKELY",
          "limits": {
            "maxFindingsPerRequest": 100
          },
          "includeQuote": true
        },
        "actions": [
          {
            "publishFindingsToDataplexCatalog": {}
          }
        ]
      }
    },
    "result": {}
  },
  "createTime": "2025-09-09T00:29:55.951374Z",
  "lastModified": "2025-09-09T00:29:58.022967Z"
}

Para obtener información sobre cómo obtener los resultados del trabajo de inspección con la API de DLP, consulta Obtén un trabajo.

Consultas de búsqueda de ejemplo

En esta sección, se proporcionan consultas de búsqueda de ejemplo que puedes usar en Knowledge Catalog para encontrar datos en tu organización o proyecto con valores de aspecto específicos.

Solo puedes encontrar los datos a los que tienes acceso. El acceso a los datos se controla a través de los permisos de IAM. Para obtener más información, consulta Roles y permisos para ver aspectos en este documento.

Puedes ingresar estas consultas de ejemplo en el campo Buscar de la página Búsqueda de Knowledge Catalog.

Ir a Búsqueda

Para obtener información sobre cómo formar las consultas, consulta Sintaxis de búsqueda para Knowledge Catalog.

Encuentra las entradas de todas las tablas que tienen el aspecto de resultado del trabajo de Sensitive Data Protection

aspect:sensitive-data-protection-job-result

Encuentra las entradas de las tablas inspeccionadas que tienen resultados

aspect:sensitive-data-protection-job-result.hasFindings=True

Encuentra las entradas de las tablas inspeccionadas que no tienen resultados

aspect:sensitive-data-protection-job-result.hasFindings=False

Encuentra las entradas de las tablas que se inspeccionaron por completo

La siguiente consulta muestra las entradas de las tablas que Sensitive Data Protection inspeccionó fila por fila.

aspect:sensitive-data-protection-job-result.isFullScan=True

Encuentra las entradas de las tablas que no se inspeccionaron por completo

La siguiente consulta muestra las entradas de las tablas que Sensitive Data Protection inspeccionó a través del muestreo.

aspect:sensitive-data-protection-job-result.isFullScan=False

Migra a la acción Publicar en Dataplex Universal Catalog

Para migrar un activador de trabajos que esté configurado para usar la acción obsoleta Publicar en Data Catalog, sigue estos pasos:

  1. Edita el activador de trabajos que está configurado para publicar los resultados de la inspección en Data Catalog. Para obtener información sobre cómo abrir y editar un activador de trabajos, consulta Actualiza un activador de trabajos existente.
  2. En la sección Acciones, inhabilita Publicar en Data Catalog.
  3. Habilita Publicar en Dataplex Universal Catalog.
  4. Haz clic en Guardar.