Bei der DLP API authentifizieren

Sie müssen sich bei der Cloud DLP API authentifizieren, um sie verwenden zu können. Die Cloud DLP API kann sowohl API-Schlüssel als auch Authentifizierung verarbeiten. Diese beiden Methoden unterscheiden sich im Wesentlichen folgendermaßen:

  • API-Schlüssel identifizieren das aufrufende Projekt, also die Anwendung oder die Website, die den Aufruf an eine API ausführt.
  • Authentifizierungstokens identifizieren einen Nutzer, also die Person, die das Projekt verwendet.

API-Schlüssel für nicht authentifizierten Zugriff verwenden

Sie können einen Google Cloud Console API-Schlüssel für die Authentifizierung bei der Cloud DLP API für einige Methoden verwenden, einschließlich aller Methoden projects.content.* und projects.image.*.

  1. Folgen Sie der Anleitung API-Schlüssel für ein Google Cloud Console-Projekt erstellen.
  2. Wenn Sie eine Cloud DLP API-Anfrage senden, übergeben Sie Ihren Schlüssel als Wert eines key-Parameters. Beispiel:
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

Es ist wichtig, Ihre API-Schlüssel vor unbefugter Verwendung zu schützen. Informationen dazu finden Sie in den Best Practices für die sichere Verwendung von API-Schlüsseln.

Dienstkonto verwenden

So authentifizieren Sie sich über ein Dienstkonto bei der Cloud DLP API:

  • Folgen Sie der Anleitung, um ein Dienstkonto zu erstellen. Wählen Sie JSON als Schlüsseltyp aus und weisen Sie dem Nutzer die Rolle DLP-Nutzer (roles/dlp.user) zu.

Weitere Informationen zum Zuweisen von Rollen zu Dienstkonten finden Sie unter Dienstkonten Rollen zuweisen.

Sobald Sie fertig sind, wird Ihr Dienstkontoschlüssel heruntergeladen und im Standardspeicherort Ihres Browsers gespeichert.

Entscheiden Sie anschließend, ob Sie Ihre Dienstkontoauthentifizierung als Inhabertoken bereitstellen oder die Standardanmeldedaten für Anwendungen nutzen möchten.

Inhabertokens, die ein Dienstkonto verwenden

Wenn Sie die Cloud DLP API direkt aufrufen, z. B. durch eine HTTP-Anfrage mit cURL, übergeben Sie Ihre Authentifizierung als Inhabertoken in einem Header der HTTP-Autorisierungsanfrage. So rufen Sie ein Inhabertoken über Ihr Dienstkonto ab:

  1. Installieren Sie das gcloud-Befehlszeilentool.
  2. Authentifizieren Sie sich bei Ihrem Dienstkonto und ersetzen Sie [KEY_FILE] unten durch den Pfad zu Ihrer Dienstkonto-Schlüsseldatei
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Rufen Sie über Ihr Dienstkonto ein Autorisierungstoken ab:
    gcloud auth print-access-token
    Der Befehl gibt einen Zugriffstokenwert zurück.
  4. Beim Aufrufen der API übergeben Sie den Tokenwert als bearer-Token in einem Authorization-Header:
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Standardanmeldedaten für Anwendungen

Wenn Sie eine Clientbibliothek zum Aufrufen der Cloud DLP API verwenden, nutzen Sie die Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC).

Dienste, die Standardanmeldedaten verwenden, erwarten diese innerhalb der Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS. Sofern Sie nicht ausdrücklich andere Anmeldedaten, wie zum Beispiel Nutzeranmeldedaten, als Standardanmeldedaten für Anwendungen verwenden möchten, sollte diese Umgebungsvariable auf Ihre Dienstkonto-Schlüsseldatei verweisen.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]