IAM 権限
共通権限
一部のメソッドには、機密データの保護に固有の権限はありません。代わりに、共通権限を使用します。これは、これらのメソッドによって課金可能なイベントが発生する可能性がありますが、保護されたクラウド リソースにアクセスしないためです。
projects.content
メソッドなどの課金可能なイベントをトリガーするすべてのアクションには、parent
で指定されたプロジェクトに対する serviceusage.services.use
権限が必要です。roles/editor
、roles/owner
、roles/dlp.user
のロールに必要な権限が含まれているか、この権限を含む独自のカスタムロール を定義できます。
この権限により、指定したプロジェクトに課金する権限が与えられます。
サービス アカウント
Google Cloud リソースにアクセスして機密データの保護への呼び出しを実行するため、機密データの保護では Cloud Data Loss Prevention サービス エージェントの認証情報を使用して他の API を認証します。サービス エージェントは、ユーザーに代わって Google の内部プロセスを実行する特別なタイプのサービス アカウントです。このサービス エージェントは、次のメールを使用して識別されます。
service-PROJECT_NUMBER @dlp-api.iam.gserviceaccount.com
Cloud Data Loss Prevention サービス エージェントは、必要になったときに初めて作成されます。InspectContent
を呼び出して事前に作成することも可能です。
curl --request POST \
"https://dlp.googleapis.com/v2/projects/PROJECT_ID /locations/us-central1/content:inspect" \
--header "X-Goog-User-Project: PROJECT_ID " \
--header "Authorization: Bearer $( gcloud auth print-access-token) " \
--header 'Accept: application/json' \
--header 'Content-Type: application/json' \
--data '{"item":{"value":"google@google.com"}}' \
--compressed
PROJECT_ID
の部分は、プロジェクト ID で置き換えます。
Cloud Data Loss Prevention サービス エージェントには、リソースの検査に必要なプロジェクトの共通権限が自動的に付与され、Google Cloud Console の [IAM] セクションに表示されます。このサービス エージェントは、常にプロジェクトと一緒に存在し、プロジェクトを削除した場合にのみ削除されます。機密データの保護はこのサービス エージェントに依存するため、削除しないでください。
注: 機密データの保護を使用して、重要なリソース(Identity and Access Management の別のカスタムロールによって保護されているものなど)をスキャンする場合は、そうした IAM ロールを Cloud Data Loss Prevention サービス エージェントに割り当てる必要があります。たとえば、Google Cloud で一部の個人に限定されているファイルを機密データの保護を使用して検査する場合は、Cloud Data Loss Prevention サービス エージェントに適切なロールを付与する必要があります。 警告: Cloud Data Loss Prevention サービス エージェントを削除するか、そのロールを取り消すと、すべてのジョブ とジョブトリガー が失敗します。
データ プロファイリング オペレーションでサービス アカウントがどのように使用されるかについては、サービス エージェント コンテナとサービス エージェント をご覧ください。
ジョブ権限
権限名
説明
dlp.jobs.create
新しいジョブを作成します。
dlp.jobs.cancel
ジョブをキャンセルします。
dlp.jobs.delete
ジョブを削除します。
dlp.jobs.get
ジョブ オブジェクトを読み取ります。
dlp.jobs.list
ジョブを一覧表示します。
dlp.jobs.hybridInspect
ハイブリッド ジョブに対してハイブリッド検査呼び出しを行います。
ジョブトリガー権限
権限名
説明
dlp.jobTriggers.create
新しいジョブトリガーを作成します。
dlp.jobTriggers.delete
ジョブトリガーを削除します。
dlp.jobTriggers.get
ジョブトリガー オブジェクトを読み取ります。
dlp.jobTriggers.list
ジョブトリガーを一覧表示します。
dlp.jobTriggers.update
ジョブトリガーを更新します。
dlp.jobTriggers.hybridInspect
ハイブリッド トリガーに対してハイブリッド検査呼び出しを行います。
監査用テンプレートの権限
権限名
説明
dlp.inspectTemplates.create
新しい検査テンプレートを作成します。
dlp.inspectTemplates.delete
検査テンプレートを削除します。
dlp.inspectTemplates.get
検査テンプレート オブジェクトを読み取ります。
dlp.inspectTemplates.list
検査テンプレートを一覧表示します。
dlp.inspectTemplates.update
検査テンプレートを更新します。
匿名化テンプレートの権限
権限名
説明
dlp.deidentifyTemplates.create
新しい匿名化テンプレートを作成します。
dlp.deidentifyTemplates.delete
匿名化テンプレートを削除します。
dlp.deidentifyTemplates.get
匿名化テンプレート オブジェクトを読み取ります。
dlp.deidentifyTemplates.list
匿名化テンプレートを一覧表示します。
dlp.deidentifyTemplates.update
匿名化テンプレートを更新します。
データ プロファイルの権限
権限名
説明
dlp.projectDataProfiles.list
プロジェクト データ プロファイルを一覧表示します。
dlp.projectDataProfiles.get
プロジェクト データ プロファイル オブジェクトを読み取ります。
dlp.tableDataProfiles.delete
1 つのテーブル プロファイルとその列のプロファイルを削除します。
dlp.tableDataProfiles.list
テーブルデータ プロファイルを一覧表示します。
dlp.tableDataProfiles.get
テーブルデータ プロファイル オブジェクトを読み取ります。
dlp.columnDataProfiles.list
列データ プロファイルを一覧表示します。
dlp.columnDataProfiles.get
列データ プロファイル オブジェクトを読み取ります。
見積もり権限
権限名
説明
dlp.estimates.get
見積もりオブジェクトを読み取ります。
dlp.estimates.list
見積もりオブジェクトを一覧表示します。
dlp.estimates.create
見積もりオブジェクトを作成します。
dlp.estimates.delete
見積もりオブジェクトを削除します。
dlp.estimates.cancel
現在進行中の見積もりをキャンセルします。
格納される infoType 権限
権限名
説明
dlp.storedInfoTypes.create
新しい格納される infoType を作成します。
dlp.storedInfoTypes.delete
格納される infoType を削除します。
dlp.storedInfoTypes.get
格納される infoType を読み取ります。
dlp.storedInfoTypes.list
格納される infoType を一覧表示します。
dlp.storedInfoTypes.update
格納される infoType を更新します。
サブスクリプションの権限
権限名
説明
dlp.subscriptions.get
新しいサブスクリプションを作成します。
dlp.subscriptions.list
サブスクリプションを一覧表示します。
dlp.subscriptions.create
サブスクリプションを作成します。
dlp.subscriptions.cancel
サブスクリプションを解約します。
dlp.subscriptions.update
サブスクリプションを更新します。
その他の権限
権限名
説明
dlp.kms.encrypt
Cloud KMS に保持されている暗号化トークンを使用してコンテンツを匿名化します。