Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der API-Name bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die den Datenschutz enthalten, finden Sie in dieser Übersicht.

IAM-Berechtigungen für den Schutz sensibler Daten

IAM-Berechtigungen

Allgemeine Berechtigungen

Einige Methoden haben keine Berechtigungen zum Schutz sensibler Daten. Stattdessen verwenden sie allgemeine Berechtigungen, da die Methoden kostenpflichtige Ereignisse verursachen können, aber nicht auf geschützte Cloudressourcen zugreifen.

Für alle Aktionen, die kostenpflichtige Ereignisse auslösen, wie die projects.content-Methoden, ist die Berechtigung serviceusage.services.use für das in parent angegebene Projekt erforderlich. Die Rollen roles/editor, roles/owner und roles/dlp.user enthalten die erforderliche Berechtigung. Sie können aber auch Ihre eigene benutzerdefinierte Rolle definieren.

Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen.

Dienstkonto

Für den Zugriff auf Google Cloud-Ressourcen und für Aufrufe des Schutzes sensibler Daten verwendet der Schutz sensibler Daten die Anmeldedaten des Cloud Data Loss Prevention-Dienst-Agents, um sich bei anderen APIs zu authentifizieren. Ein Dienst-Agent ist eine spezielle Art von Dienstkonto, das interne Google-Prozesse für Sie ausführt. Der Dienst-Agent ist durch die E-Mail-Adresse identifizierbar:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

Der Cloud Data Loss Prevention-Dienst-Agent wird zum ersten Mal erstellt, wenn er benötigt wird. Sie können sie im Voraus erstellen, indem Sie InspectContent aufrufen:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Ersetzen Sie PROJECT_ID durch die Projekt-ID.

Dem Dienst-Agent von Cloud Data Loss Prevention werden automatisch allgemeine Berechtigungen für das Projekt gewährt, die zum Prüfen von Ressourcen erforderlich sind und im IAM-Bereich der Google Cloud Console aufgeführt sind. Der Dienst-Agent besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Der Schutz sensibler Daten basiert auf diesem Dienst-Agent. Sie sollten ihn daher nicht entfernen.

Weitere Informationen zur Verwendung von Dienstkonten bei der Datenprofilerstellung finden Sie unter Dienst-Agent-Container und Dienst-Agent.

Jobberechtigungen

Name der Berechtigung	Beschreibung
`dlp.jobs.create`	Neue Jobs erstellen
`dlp.jobs.cancel`	Jobs abbrechen
`dlp.jobs.delete`	Jobs löschen
`dlp.jobs.get`	Jobobjekte lesen
`dlp.jobs.list`	Jobs auflisten
`dlp.jobs.hybridInspect`	Führen Sie einen Hybridprüfungsaufruf für einen Hybridjob aus.

Berechtigungen für Jobtrigger

Name der Berechtigung	Beschreibung
`dlp.jobTriggers.create`	Neue Jobtrigger erstellen
`dlp.jobTriggers.delete`	Jobtrigger löschen
`dlp.jobTriggers.get`	Jobtriggerobjekte lesen
`dlp.jobTriggers.list`	Jobtrigger auflisten
`dlp.jobTriggers.update`	Jobtrigger aktualisieren
`dlp.jobTriggers.hybridInspect`	Führen Sie einen Hybridprüfungsaufruf für einen Hybridtrigger aus.

Berechtigungen für Inspektionsvorlagen

Name der Berechtigung	Beschreibung
`dlp.inspectTemplates.create`	Neue Inspektionsvorlagen erstellen
`dlp.inspectTemplates.delete`	Inspektionsvorlagen löschen
`dlp.inspectTemplates.get`	Inspektionsvorlagenobjekte lesen
`dlp.inspectTemplates.list`	Inspektionsvorlagen auflisten
`dlp.inspectTemplates.update`	Inspektionsvorlagen aktualisieren

Berechtigungen für De-Identifikation-Vorlagen

Name der Berechtigung	Beschreibung
`dlp.deidentifyTemplates.create`	Neue De-Identifizierungsvorlagen erstellen
`dlp.deidentifyTemplates.delete`	De-Identifikation-Vorlagen löschen
`dlp.deidentifyTemplates.get`	De-Identifikation-Vorlagenobjekte lesen
`dlp.deidentifyTemplates.list`	De-Identifikation-Vorlagen auflisten
`dlp.deidentifyTemplates.update`	De-Identifikation-Vorlagen aktualisieren

Berechtigungen für Datenprofile

Name der Berechtigung	Beschreibung
`dlp.projectDataProfiles.list`	Projektdatenprofile auflisten
`dlp.projectDataProfiles.get`	Projektdatenprofilobjekte lesen
`dlp.tableDataProfiles.delete`	Ein einzelnes Tabellenprofil und seine Spaltenprofile löschen.
`dlp.tableDataProfiles.list`	Tabellendatenprofile auflisten
`dlp.tableDataProfiles.get`	Tabellendatenprofilobjekte lesen
`dlp.columnDataProfiles.list`	Spaltendatenprofile auflisten
`dlp.columnDataProfiles.get`	Spaltendatenprofilobjekte lesen

Berechtigungen schätzen

Name der Berechtigung	Beschreibung
`dlp.estimates.get`	Geschätzte Objekte lesen
`dlp.estimates.list`	Geschätzte Objekte auflisten
`dlp.estimates.create`	Geschätztes Objekt erstellen
`dlp.estimates.delete`	Geschätztes Objekt löschen
`dlp.estimates.cancel`	Eine laufende Schätzung abbrechen

Berechtigungen für gespeicherte InfoTypes

Name der Berechtigung	Beschreibung
`dlp.storedInfoTypes.create`	Neue gespeicherte Infotypen erstellen
`dlp.storedInfoTypes.delete`	Gespeicherte Infotypen löschen
`dlp.storedInfoTypes.get`	Gespeicherte Infotypen lesen
`dlp.storedInfoTypes.list`	Gespeicherte Infotypen auflisten
`dlp.storedInfoTypes.update`	Gespeicherte Infotypen aktualisieren

Aboberechtigungen

Name der Berechtigung	Beschreibung
`dlp.subscriptions.get`	Neue Abos erstellen
`dlp.subscriptions.list`	Abos auflisten.
`dlp.subscriptions.create`	Abos erstellen
`dlp.subscriptions.cancel`	Abos kündigen
`dlp.subscriptions.update`	Abos aktualisieren

Diverse Berechtigungen

Name der Berechtigung	Beschreibung
`dlp.kms.encrypt`	Inhalte mithilfe von Verschlüsselungstokens, die in Cloud KMS gespeichert wurden, de-identifizieren