Autenticación de la API de DLP

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Debes autenticarte en la API de DLP para poder usarla. La API de DLP puede controlar las claves de API y la autenticación. Estos dos métodos se diferencian en lo siguiente:

  • Las claves de API identifican el proyecto (la app o el sitio) que realiza la llamada a una API.
  • Los tokens de autenticación identifican a un usuario (la persona) que usa el proyecto.

Usa una clave de API para acceso no autenticado

Puedes usar una clave de API de Google Cloud Console a fin de autenticarte en la API de DLP para algunos métodos, incluidos todos los métodos projects.content.* y projects.image.*.

  1. Sigue las instrucciones a fin de crear una clave de API para tu proyecto de Google Cloud Console.
  2. Cuando realices una solicitud a la API de DLP, pasa tu clave como el valor de un parámetro key. Por ejemplo:
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

Es importante proteger tus claves de API contra el uso no autorizado. Si deseas obtener consejos sobre cómo hacerlo, consulta Recomendaciones para usar claves de API de forma segura.

Usa una cuenta de servicio

Para usar una cuenta de servicio a fin de autenticar en la API de DLP, siga estos pasos:

  • Sigue las instrucciones para crear una cuenta de servicio. Selecciona JSON como el tipo de clave y otorga al usuario la función Usuario de DLP (roles/dlp.user).

Para obtener más información sobre la concesión de funciones a las cuentas de servicio, consulta Otorga funciones a las cuentas de servicio.

Una vez completada, la clave de tu cuenta de servicio se descarga en la ubicación predeterminada de tu navegador.

A continuación, decide si proporcionarás la autenticación de tu cuenta de servicio como un token del portador o mediante las credenciales predeterminadas de la aplicación.

Tokens del portador mediante una cuenta de servicio

Si llamas directamente a la API de DLP, por ejemplo, cuando realizas una solicitud HTTP con cURL, pasarás tu autenticación como un token del portador en un encabezado de solicitud de autorización HTTP. Para obtener un token del portador mediante tu cuenta de servicio, haz lo siguiente:

  1. Instala la CLI de Google Cloud.
  2. Reemplaza [KEY_FILE] a continuación por la ruta de acceso a tu archivo de claves de cuenta de servicio para autenticarte:
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Obtén un token de autorización con tu cuenta de servicio:
    gcloud auth print-access-token
    El comando muestra un valor de token de acceso.
  4. Cuando llames a la API, pasa el valor del token como uno bearer en un encabezado Authorization:
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Credenciales predeterminadas de la aplicación

Si usas una biblioteca cliente para llamar a la API de DLP, usa las credenciales predeterminadas de la aplicación (ADC).

Los servicios que usan ADC buscan credenciales en una variable de entorno GOOGLE_APPLICATION_CREDENTIALS. A menos que desees que ADC use otras credenciales (por ejemplo, credenciales de usuario), configura esta variable de entorno para que apunte a tu archivo de claves de cuenta de servicio.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Usa Cloud DLP desde las VM de Compute Engine

Para acceder a la API de DLP desde instancias de VM, selecciona Permitir el acceso total a todas las API de Cloud en la sección Identidad y acceso a la API cuando crees la VM.