Autenticazione nell'API DLP

Per utilizzarlo, devi autenticarti all'API DLP. L'API DLP può gestire sia le chiavi API sia l'autenticazione. La differenza principale tra questi due metodi è:

  • Le chiavi API identificano il progetto chiamante, ovvero l'app o il sito, che effettua la chiamata a un'API.
  • I token di autenticazione identificano un utente, ovvero la persona, che utilizza il progetto.

Utilizzo di una chiave API per l'accesso non autenticato

Puoi utilizzare una chiave API di Google Cloud Console per eseguire l'autenticazione con l'API DLP per alcuni metodi, inclusi tutti i metodi projects.content.* e projects.image.*.

  1. Segui le istruzioni per creare una chiave API per il progetto Google Cloud Console.
  2. Quando esegui una richiesta API DLP, trasmetti la tua chiave come valore di un parametro key. Ad esempio: 
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

È importante proteggere le chiavi dell'API da utilizzi non autorizzati. Per consigli su come fare, consulta le best practice per l'utilizzo sicuro delle chiavi API.

Utilizzo di un account di servizio

Per utilizzare un account di servizio per l'autenticazione con l'API DLP:

  • Segui le istruzioni per creare un account di servizio. Seleziona JSON come tipo di chiave e concedi all'utente il ruolo Utente DLP (roles/dlp.user).

Per ulteriori informazioni sulla concessione di ruoli agli account di servizio, consulta la sezione Concedere i ruoli agli account di servizio.

Una volta completata, la chiave dell'account di servizio viene scaricata nella posizione predefinita del browser.

Quindi, devi decidere se fornire l'autenticazione del tuo account di servizio come token di connessione o utilizzare le credenziali predefinite dell'applicazione.

Token di connessione che utilizzano un account di servizio

Se chiami direttamente l'API DLP, ad esempio inviando una richiesta HTTP con cURL, passi l'autenticazione come token di connessione in un'intestazione della richiesta di autorizzazione HTTP. Per ottenere un token di connessione con il tuo account di servizio:

  1. Installa l' interfaccia a riga di comando di Google Cloud.
  2. Autentica il tuo account di servizio, sostituendo [KEY_FILE] di seguito con il percorso del file della chiave dell'account di servizio: 
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Richiedi un token di autorizzazione utilizzando l'account di servizio: 
    gcloud auth print-access-token
    Il comando restituisce un valore del token di accesso.
  4. Quando chiami l'API, trasmetti il valore del token come token bearer in un'intestazione Authorization: 
    curl -s -H 'Content-Type: application/json' \
  -H 'Authorization: Bearer [ACCESS_TOKEN]' \
  'https://dlp.googleapis.com/v2/infoTypes'

Credenziali predefinite dell'applicazione

Se utilizzi una libreria client per chiamare l'API DLP, utilizza Credenziali predefinite dell'applicazione.

I servizi che utilizzano ADC cercano le credenziali all'interno di una variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS. A meno che tu non voglia specificamente che ADC utilizzi altre credenziali (ad esempio, credenziali utente), imposta questa variabile di ambiente in modo che rimandi al file della chiave dell'account di servizio.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Utilizzo di Cloud DLP dalle VM di Compute Engine

Per accedere all'API DLP dalle istanze VM, seleziona Consenti l'accesso completo a tutte le API Cloud nella sezione Identità e accesso API durante la creazione della VM.