Allgemeine Berechtigungen
Einige Methoden haben keine Cloud DLP-spezifischen Berechtigungen. Stattdessen verwenden sie allgemeine Berechtigungen, da die Methoden kostenpflichtige Ereignisse verursachen können, aber nicht auf geschützte Cloudressourcen zugreifen.
Für alle Aktionen, die kostenpflichtige Ereignisse auslösen, wie die projects.content-Methoden, ist die Berechtigung serviceusage.services.use für das in parent angegebene Projekt erforderlich. Die Rollen roles/editor, roles/owner und roles/dlp.user enthalten die erforderliche Berechtigung. Sie können aber auch Ihre eigene benutzerdefinierte Rolle definieren.
Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen.
Dienstkonto
Cloud DLP authentifiziert sich mit den Anmeldedaten des Cloud Data Loss Prevention-Dienst-Agents bei anderen APIs, um auf Ressourcen der Google Cloud zuzugreifen und Aufrufe von Cloud DLP auszuführen. Ein Dienst-Agent ist eine spezielle Art von Dienstkonto, das interne Google-Prozesse für Sie ausführt. Der Dienst-Agent ist durch die E-Mail-Adresse identifizierbar:
service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com
Der Cloud Data Loss Prevention-Dienst-Agent wird zum ersten Mal erstellt, wenn er benötigt wird. Sie können sie im Voraus erstellen, indem Sie InspectContent aufrufen:
curl --request POST \
"https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
--header "X-Goog-User-Project: PROJECT_ID" \
--header "Authorization: Bearer $(gcloud auth print-access-token)" \
--header 'Accept: application/json' \
--header 'Content-Type: application/json' \
--data '{"item":{"value":"google@google.com"}}' \
--compressed
Ersetzen Sie PROJECT_ID durch die Projekt-ID.
Dem Dienst-Agent für Cloud Data Loss Prevention werden automatisch allgemeine Berechtigungen für das Projekt gewährt, die zum Prüfen von Ressourcen erforderlich sind. Sie werden im IAM-Bereich der Google Cloud Console aufgeführt. Der Dienst-Agent besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Cloud DLP basiert auf diesem Dienst-Agent, daher sollten Sie es nicht entfernen.
Weitere Informationen zur Verwendung von Dienstkonten für Datenprofilvorgänge finden Sie unter Dienst-Agent-Container und Dienst-Agent.
Jobberechtigungen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.jobs.create |
Neue Jobs erstellen |
dlp.jobs.cancel |
Jobs abbrechen |
dlp.jobs.delete |
Jobs löschen |
dlp.jobs.get |
Jobobjekte lesen |
dlp.jobs.list |
Jobs auflisten |
dlp.jobs.hybridInspect |
Führen Sie einen Hybridprüfungsaufruf für einen Hybridjob aus. |
Berechtigungen für Jobtrigger
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.jobTriggers.create |
Neue Jobtrigger erstellen |
dlp.jobTriggers.delete |
Jobtrigger löschen |
dlp.jobTriggers.get |
Jobtriggerobjekte lesen |
dlp.jobTriggers.list |
Jobtrigger auflisten |
dlp.jobTriggers.update |
Jobtrigger aktualisieren |
dlp.jobTriggers.hybridInspect |
Führen Sie einen Hybridprüfungsaufruf für einen Hybridtrigger aus. |
Berechtigungen für Inspektionsvorlagen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.inspectTemplates.create |
Neue Inspektionsvorlagen erstellen |
dlp.inspectTemplates.delete |
Inspektionsvorlagen löschen |
dlp.inspectTemplates.get |
Inspektionsvorlagenobjekte lesen |
dlp.inspectTemplates.list |
Inspektionsvorlagen auflisten |
dlp.inspectTemplates.update |
Inspektionsvorlagen aktualisieren |
Berechtigungen für De-Identifikation-Vorlagen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.deidentifyTemplates.create |
Neue De-Identifizierungsvorlagen erstellen |
dlp.deidentifyTemplates.delete |
De-Identifikation-Vorlagen löschen |
dlp.deidentifyTemplates.get |
De-Identifikation-Vorlagenobjekte lesen |
dlp.deidentifyTemplates.list |
De-Identifikation-Vorlagen auflisten |
dlp.deidentifyTemplates.update |
De-Identifikation-Vorlagen aktualisieren |
Berechtigungen für Datenprofile
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.projectDataProfiles.list |
Projektdatenprofile auflisten |
dlp.projectDataProfiles.get |
Projektdatenprofilobjekte lesen |
dlp.tableDataProfiles.list |
Tabellendatenprofile auflisten |
dlp.tableDataProfiles.get |
Tabellendatenprofilobjekte lesen |
dlp.columnDataProfiles.list |
Spaltendatenprofile auflisten |
dlp.columnDataProfiles.get |
Spaltendatenprofilobjekte lesen |
Berechtigungen schätzen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.estimates.get |
Geschätzte Objekte lesen |
dlp.estimates.list |
Geschätzte Objekte auflisten |
dlp.estimates.create |
Geschätztes Objekt erstellen |
dlp.estimates.delete |
Geschätztes Objekt löschen |
dlp.estimates.cancel |
Eine laufende Schätzung abbrechen |
Berechtigungen für gespeicherte InfoTypes
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.storedInfoTypes.create |
Neue gespeicherte Infotypen erstellen |
dlp.storedInfoTypes.delete |
Gespeicherte Infotypen löschen |
dlp.storedInfoTypes.get |
Gespeicherte Infotypen lesen |
dlp.storedInfoTypes.list |
Gespeicherte Infotypen auflisten |
dlp.storedInfoTypes.update |
Gespeicherte Infotypen aktualisieren |
Diverse Berechtigungen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.kms.encrypt |
Inhalte mithilfe von Verschlüsselungstokens, die in Cloud KMS gespeichert wurden, de-identifizieren |