IAM-Berechtigungen für den Schutz sensibler Daten

IAM-Berechtigungen

Allgemeine Berechtigungen

Einige Methoden haben keine spezifischen Berechtigungen für den Schutz sensibler Daten. Stattdessen verwenden sie allgemeine Berechtigungen, da die Methoden kostenpflichtige Ereignisse verursachen können, aber nicht auf geschützte Cloudressourcen zugreifen.

Für alle Aktionen, die kostenpflichtige Ereignisse auslösen, wie die projects.content-Methoden, ist die Berechtigung serviceusage.services.use für das in parent angegebene Projekt erforderlich. Die Rollen roles/editor, roles/owner und roles/dlp.user enthalten die erforderliche Berechtigung. Sie können aber auch Ihre eigene benutzerdefinierte Rolle definieren.

Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen.

Dienstkonto

Sensitive Data Protection authentifiziert sich mit den Anmeldedaten des Cloud Data Loss Prevention-Dienst-Agents bei anderen APIs, um auf Ressourcen der Google Cloud zuzugreifen und Aufrufe von Sensitive Data Protection auszuführen. Ein Dienst-Agent ist eine spezielle Art von Dienstkonto, das interne Google-Prozesse für Sie ausführt. Der Dienst-Agent ist durch die E-Mail-Adresse identifizierbar:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

Der Cloud Data Loss Prevention-Dienst-Agent wird zum ersten Mal erstellt, wenn er benötigt wird. Sie können sie im Voraus erstellen, indem Sie InspectContent aufrufen:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Ersetzen Sie PROJECT_ID durch die Projekt-ID.

Der Cloud Data Loss Prevention-Dienst-Agent erhält automatisch allgemeine, zum Prüfen von Ressourcen erforderliche Berechtigungen für das Projekt. Diese sind im Abschnitt „IAM“ der Google Cloud Console aufgeführt. Der Dienst-Agent besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Der Schutz sensibler Daten basiert auf diesem Dienst-Agent, daher sollten Sie ihn nicht entfernen.

Weitere Informationen zur Verwendung von Dienstkonten bei Datenprofilierungsaktionen finden Sie unter Dienst-Agent-Container und Dienst-Agent.

Jobberechtigungen

Name der Berechtigung Beschreibung
dlp.jobs.create Neue Jobs erstellen
dlp.jobs.cancel Jobs abbrechen
dlp.jobs.delete Jobs löschen
dlp.jobs.get Jobobjekte lesen
dlp.jobs.list Jobs auflisten
dlp.jobs.hybridInspect Führen Sie einen Hybridprüfungsaufruf für einen Hybridjob aus.

Berechtigungen für Jobtrigger

Name der Berechtigung Beschreibung
dlp.jobTriggers.create Neue Jobtrigger erstellen
dlp.jobTriggers.delete Jobtrigger löschen
dlp.jobTriggers.get Jobtriggerobjekte lesen
dlp.jobTriggers.list Jobtrigger auflisten
dlp.jobTriggers.update Jobtrigger aktualisieren
dlp.jobTriggers.hybridInspect Führen Sie einen Hybridprüfungsaufruf für einen Hybridtrigger aus.

Berechtigungen für Inspektionsvorlagen

Name der Berechtigung Beschreibung
dlp.inspectTemplates.create Neue Inspektionsvorlagen erstellen
dlp.inspectTemplates.delete Inspektionsvorlagen löschen
dlp.inspectTemplates.get Inspektionsvorlagenobjekte lesen
dlp.inspectTemplates.list Inspektionsvorlagen auflisten
dlp.inspectTemplates.update Inspektionsvorlagen aktualisieren

Berechtigungen für De-Identifikation-Vorlagen

Name der Berechtigung Beschreibung
dlp.deidentifyTemplates.create Neue De-Identifizierungsvorlagen erstellen
dlp.deidentifyTemplates.delete De-Identifikation-Vorlagen löschen
dlp.deidentifyTemplates.get De-Identifikation-Vorlagenobjekte lesen
dlp.deidentifyTemplates.list De-Identifikation-Vorlagen auflisten
dlp.deidentifyTemplates.update De-Identifikation-Vorlagen aktualisieren

Berechtigungen für Datenprofile

Name der Berechtigung Beschreibung
dlp.projectDataProfiles.list Projektdatenprofile auflisten
dlp.projectDataProfiles.get Projektdatenprofilobjekte lesen
dlp.tableDataProfiles.delete Löschen Sie ein einzelnes Tabellenprofil und seine Spaltenprofile.
dlp.tableDataProfiles.list Tabellendatenprofile auflisten
dlp.tableDataProfiles.get Tabellendatenprofilobjekte lesen
dlp.columnDataProfiles.list Spaltendatenprofile auflisten
dlp.columnDataProfiles.get Spaltendatenprofilobjekte lesen
dlp.fileStoreProfiles.delete Löschen Sie ein einzelnes Dateispeicherprofil.
dlp.fileStoreProfiles.list Datenprofile für Dateispeicher auflisten
dlp.fileStoreProfiles.get Datenprofilobjekte für Dateispeicher lesen

Berechtigungen schätzen

Name der Berechtigung Beschreibung
dlp.estimates.get Geschätzte Objekte lesen
dlp.estimates.list Geschätzte Objekte auflisten
dlp.estimates.create Geschätztes Objekt erstellen
dlp.estimates.delete Geschätztes Objekt löschen
dlp.estimates.cancel Eine laufende Schätzung abbrechen

Berechtigungen für gespeicherte InfoTypes

Name der Berechtigung Beschreibung
dlp.storedInfoTypes.create Neue gespeicherte Infotypen erstellen
dlp.storedInfoTypes.delete Gespeicherte Infotypen löschen
dlp.storedInfoTypes.get Gespeicherte Infotypen lesen
dlp.storedInfoTypes.list Gespeicherte Infotypen auflisten
dlp.storedInfoTypes.update Gespeicherte Infotypen aktualisieren

Aboberechtigungen

Name der Berechtigung Beschreibung
dlp.subscriptions.get Neue Abos erstellen
dlp.subscriptions.list Abos auflisten
dlp.subscriptions.create Erstellen Sie Abos.
dlp.subscriptions.cancel Abos kündigen
dlp.subscriptions.update Aktualisieren Sie Ihre Abos.

Diagrammberechtigungen

Name der Berechtigung Beschreibung
dlp.charts.get Diagrammdaten für das Dashboard „Datenprofile“ abrufen

Sonstige Berechtigungen

Name der Berechtigung Beschreibung
dlp.kms.encrypt Inhalte mithilfe von Verschlüsselungstokens, die in Cloud KMS gespeichert wurden, de-identifizieren