IAM 权限
常用权限
某些方法没有特定于敏感数据保护的权限。而是使用常用权限,因为这些方法可能会导致可计费事件,但不会访问任何受保护的云资源。
触发可计费事件的所有操作(如 projects.content
方法)都需要 parent
中所指定项目的 serviceusage.services.use
权限。roles/editor
、roles/owner
和 roles/dlp.user
角色包含所需的权限,您也可以自行定义包含此权限的自定义角色 。
此权限可确保您有权对指定的项目进行结算。
服务账号
如需访问 Google Cloud 资源并执行对敏感数据保护的调用,敏感数据保护会使用 Cloud Data Loss Prevention Service Agent 的凭据对其他 API 进行身份验证。服务代理是一种特殊类型的服务账号,可代表您运行内部 Google 流程。该服务代理采用如下电子邮件地址形式:
service-PROJECT_NUMBER @dlp-api.iam.gserviceaccount.com
Cloud Data Loss Prevention 服务代理是在第一次需要时创建的。您可以通过调用 InspectContent
提前创建该服务代理:
curl --request POST \
"https://dlp.googleapis.com/v2/projects/PROJECT_ID /locations/us-central1/content:inspect" \
--header "X-Goog-User-Project: PROJECT_ID " \
--header "Authorization: Bearer $( gcloud auth print-access-token) " \
--header 'Accept: application/json' \
--header 'Content-Type: application/json' \
--data '{"item":{"value":"google@google.com"}}' \
--compressed
将 PROJECT_ID
替换为项目 ID 。
Cloud Data Loss Prevention 服务代理会自动获得检查资源所需的项目常见权限,并列在 Google Cloud 控制台的 IAM 部分中。该服务代理随项目无限期存在;只有在项目被删除时,它才会被删除。Sensitive Data Protection 依赖于此服务代理,因此不应将其移除。
注意 :如果您使用敏感数据保护功能扫描关键资源(例如受其他自定义 Identity and Access Management 角色保护的资源),则必须将这些其他的 IAM 角色分配给 Cloud Data Loss Prevention 服务代理。例如,如果您想使用敏感数据保护功能检查 Google Cloud 中仅限于一部分人的文件,则必须向 Cloud Data Loss Prevention 服务代理授予适当的角色。 警告 : 如果您移除 Cloud Data Loss Prevention 服务代理或撤消其角色,所有作业 和作业触发器 都将失败。
如需详细了解如何在数据分析操作中使用服务账号,请参阅服务代理容器和服务代理 。
作业权限
权限名称
说明
dlp.jobs.create
创造新作业。
dlp.jobs.cancel
取消作业。
dlp.jobs.delete
删除作业。
dlp.jobs.get
读取作业对象。
dlp.jobs.list
列出作业。
dlp.jobs.hybridInspect
对混合作业进行混合检查调用。
作业触发器权限
权限名称
说明
dlp.jobTriggers.create
创建新的作业触发器。
dlp.jobTriggers.delete
删除作业触发器。
dlp.jobTriggers.get
读取作业触发器对象。
dlp.jobTriggers.list
列出作业触发器。
dlp.jobTriggers.update
更新作业触发器。
dlp.jobTriggers.hybridInspect
对混合触发器进行混合检查调用。
检查模板权限
权限名称
说明
dlp.inspectTemplates.create
创建新的检查模板。
dlp.inspectTemplates.delete
删除检查模板。
dlp.inspectTemplates.get
读取检查模板对象。
dlp.inspectTemplates.list
列出检查模板。
dlp.inspectTemplates.update
更新检查模板。
去标识化模板权限
权限名称
说明
dlp.deidentifyTemplates.create
创建新的去标识化模板。
dlp.deidentifyTemplates.delete
删除去标识化模板。
dlp.deidentifyTemplates.get
读取去标识化模板对象。
dlp.deidentifyTemplates.list
列出去标识化模板。
dlp.deidentifyTemplates.update
更新去标识化模板。
数据配置文件权限
权限名称
说明
dlp.projectDataProfiles.list
列出项目数据分析文件。
dlp.projectDataProfiles.get
读取项目数据配置文件对象。
dlp.tableDataProfiles.delete
删除单个表配置文件及其列配置文件。
dlp.tableDataProfiles.list
列出表数据分析文件。
dlp.tableDataProfiles.get
读取表数据配置文件对象。
dlp.columnDataProfiles.list
列出列数据分析文件。
dlp.columnDataProfiles.get
读取列数据配置文件对象。
dlp.fileStoreProfiles.delete
删除单个文件存储空间配置文件。
dlp.fileStoreProfiles.list
列出文件存储区数据分析文件。
dlp.fileStoreProfiles.get
读取文件存储区数据分析文件对象。
估算权限
权限名称
说明
dlp.estimates.get
读取估算对象。
dlp.estimates.list
列出估算对象。
dlp.estimates.create
创建一个 estimate 对象。
dlp.estimates.delete
删除估算对象。
dlp.estimates.cancel
取消正在进行的估算。
存储的 infoType 权限
权限名称
说明
dlp.storedInfoTypes.create
创建新的存储 infotype。
dlp.storedInfoTypes.delete
删除存储的 infotype。
dlp.storedInfoTypes.get
读取存储的 infotype。
dlp.storedInfoTypes.list
列出存储的 infotype。
dlp.storedInfoTypes.update
更新存储的 infotype。
订阅权限
权限名称
说明
dlp.subscriptions.get
创建新订阅。
dlp.subscriptions.list
列出订阅。
dlp.subscriptions.create
创建订阅。
dlp.subscriptions.cancel
取消订阅。
dlp.subscriptions.update
更新订阅。
排行榜权限
权限名称
说明
dlp.charts.get
获取数据分析文件信息中心的图表数据。
其他权限
权限名称
说明
dlp.kms.encrypt
使用保留在 Cloud KMS 中的加密令牌对内容进行去标识化。