Bei der DLP API authentifizieren

Sie müssen sich bei der DLP API authentifizieren, um sie verwenden zu können. Die DLP API kann sowohl API-Schlüssel als auch Authentifizierungstokens verarbeiten. Diese beiden Methoden unterscheiden sich im Wesentlichen folgendermaßen:

  • API-Schlüssel identifizieren das aufrufende Projekt, also die Anwendung oder die Website, die den Aufruf an eine API ausführt.
  • Authentifizierungstokens identifizieren einen Nutzer, also die Person, die das Projekt verwendet.

API-Schlüssel für nicht authentifizierten Zugriff verwenden

Für einige Methoden, einschließlich aller Methoden projects.content.* und projects.image.* können Sie sich mit einem Google Cloud Console API-Schlüssel bei der DLP API authentifizieren.

  1. Folge der Anleitung zum Erstellen eines API-Schlüssels für dein Google Cloud Console-Projekt.
  2. Wenn Sie eine DLP API-Anfrage senden, übergeben Sie den Schlüssel als Wert eines key-Parameters. Beispiel:
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

Es ist wichtig, Ihre API-Schlüssel vor unbefugter Verwendung zu schützen. Informationen dazu finden Sie in den Best Practices für die sichere Verwendung von API-Schlüsseln.

Dienstkonto verwenden

So verwenden Sie ein Dienstkonto zur Authentifizierung bei der DLP API:

  • Folgen Sie der Anleitung, um ein Dienstkonto zu erstellen. Wählen Sie JSON als Schlüsseltyp aus und weisen Sie dem Nutzer die Rolle DLP-Nutzer (roles/dlp.user) zu.

Weitere Informationen zum Zuweisen von Rollen zu Dienstkonten finden Sie unter Dienstkonten Rollen zuweisen.

Sobald Sie fertig sind, wird Ihr Dienstkontoschlüssel heruntergeladen und im Standardspeicherort Ihres Browsers gespeichert.

Entscheiden Sie anschließend, ob Sie Ihre Dienstkontoauthentifizierung als Inhabertoken bereitstellen oder die Standardanmeldedaten für Anwendungen nutzen möchten.

Inhabertokens, die ein Dienstkonto verwenden

Wenn Sie die DLP API direkt aufrufen, z. B. durch Erstellen einer HTTP-Anfrage mit cURL, übergeben Sie Ihre Authentifizierung als Inhabertoken in einem Header der HTTP-Autorisierungsanfrage. So rufen Sie ein Inhabertoken über Ihr Dienstkonto ab:

  1. Installieren Sie die Google Cloud CLI.
  2. Authentifizieren Sie sich bei Ihrem Dienstkonto und ersetzen Sie [KEY_FILE] unten durch den Pfad zu Ihrer Dienstkonto-Schlüsseldatei
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Rufen Sie über Ihr Dienstkonto ein Autorisierungstoken ab:
    gcloud auth print-access-token
    Der Befehl gibt einen Zugriffstokenwert zurück.
  4. Übergeben Sie beim Aufrufen der API den Tokenwert als bearer-Token in einem Authorization-Header:
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Standardanmeldedaten für Anwendungen

Wenn Sie eine Clientbibliothek verwenden, um die DLP API aufzurufen, verwenden Sie Application Default Credentials (ADC).

Dienste, die Standardanmeldedaten verwenden, erwarten diese innerhalb der Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS. Sofern Sie nicht ausdrücklich andere Anmeldedaten, wie zum Beispiel Nutzeranmeldedaten, als Standardanmeldedaten für Anwendungen verwenden möchten, sollte diese Umgebungsvariable auf Ihre Dienstkonto-Schlüsseldatei verweisen.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Cloud DLP über Compute Engine-VMs verwenden

Für den Zugriff auf die DLP API von VM-Instanzen wählen Sie beim Erstellen der VM im Abschnitt Identity and API Access (Identität und API-Zugriff) die Option Uneingeschränkten Zugriff auf alle Cloud APIs zulassen aus.