Autenticazione nell'API DLP

Devi eseguire l'autenticazione nell'API DLP per utilizzarla. L'API DLP è in grado di gestire sia le chiavi API sia l'autenticazione. La principale differenza tra questi due metodi è:

  • Le chiavi API identificano il progetto chiamante (l'app o il sito) che effettua la chiamata a un'API.
  • I token di autenticazione identificano l'utente, ovvero la persona che utilizza il progetto.

Utilizzo di una chiave API per l'accesso non autenticato

Puoi utilizzare una chiave API della console Google Cloud per eseguire l'autenticazione nell'API DLP per alcuni metodi, inclusi tutti i metodi projects.content.* e projects.image.*.

  1. Segui le istruzioni per creare una chiave API per il tuo progetto nella console Google Cloud.
  2. Quando effettui una richiesta API DLP, trasmetti la chiave come valore di un parametro key. Ad esempio:
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

È importante proteggere le chiavi API dall'uso non autorizzato. Per consigli su come farlo, consulta le best practice per l'utilizzo sicuro delle chiavi API.

Utilizzo di un account di servizio

Per utilizzare un account di servizio per l'autenticazione nell'API DLP:

  • Segui le istruzioni per creare un account di servizio. Seleziona JSON come tipo di chiave e concedi all'utente il ruolo Utente DLP (roles/dlp.user).

Per ulteriori informazioni sulla concessione dei ruoli agli account di servizio, consulta Concessione di ruoli agli account di servizio.

Al termine, la chiave dell'account di servizio viene scaricata nella posizione predefinita del browser.

Quindi, decidi se fornire l'autenticazione dell'account di servizio come token di connessione o utilizzando le credenziali predefinite dell'applicazione.

Token di connessione che utilizzano un account di servizio

Se chiami direttamente l'API DLP, ad esempio effettuando una richiesta HTTP con cURL, passerai l'autenticazione come token di connessione nell'intestazione di una richiesta di autorizzazione HTTP. Per ottenere un token di connessione utilizzando il tuo account di servizio:

  1. Installa Google Cloud CLI.
  2. Esegui l'autenticazione nel tuo account di servizio, sostituendo [KEY_FILE] di seguito con il percorso del file delle chiavi dell'account di servizio:
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Richiedi un token di autorizzazione utilizzando l'account di servizio:
    gcloud auth print-access-token
    Il comando restituisce un valore del token di accesso.
  4. Quando chiami l'API, passa il valore del token come token bearer in un'intestazione Authorization:
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Credenziali predefinite dell'applicazione

Se utilizzi una libreria client per chiamare l'API DLP, usa le Credenziali predefinite dell'applicazione (ADC).

I servizi che utilizzano ADC cercano le credenziali all'interno di una variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS. A meno che tu non voglia specificamente che ADC utilizzi altre credenziali (ad esempio le credenziali utente), imposta questa variabile di ambiente in modo che rimandi al file della chiave dell'account di servizio.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Utilizzo di Sensitive Data Protection dalle VM di Compute Engine

Per accedere all'API DLP dalle istanze VM, seleziona Consenti l'accesso completo a tutte le API Cloud nella sezione Identità e accesso API durante la creazione della VM.