Cloud DLP-IAM-Berechtigungen

IAM-Berechtigungen

Allgemeine Berechtigungen

Einige Methoden haben keine Cloud DLP-spezifischen Berechtigungen. Stattdessen verwenden sie allgemeine Berechtigungen, da die Methoden kostenpflichtige Ereignisse verursachen können, aber nicht auf geschützte Cloud-Ressourcen zugreifen.

Für alle Aktionen, die kostenpflichtige Ereignisse auslösen, wie die projects.content-Methoden, ist die Berechtigung serviceusage.services.use für das in parent angegebene Projekt erforderlich. Die Rollen roles/editor, roles/owner und roles/dlp.user enthalten die erforderliche Berechtigung. Sie können aber auch Ihre eigene benutzerdefinierte Rolle definieren.

Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen.

Dienstkonto

Wenn Cloud DLP aktiviert ist, wird ein Dienstkonto für das Projekt erstellt.

Cloud DLP authentifiziert sich mit den Anmeldedaten des Google APIs-Dienstkontos gegenüber anderen APIs, um auf Ressourcen der Google Cloud zuzugreifen und Anrufe von Cloud DLP über JobTrigger auszuführen. Das Google APIs-Dienstkonto ist speziell für die Ausführung interner Google-Prozesse in Ihrem Namen vorgesehen. Das Dienstkonto ist durch die E-Mail-Adresse identifizierbar:

service-[PROJECT_NUMBER]@dlp-api.iam.gserviceaccount.com

Das Google APIs-Dienstkonto erhält automatisch allgemeine, zum Prüfen von Ressourcen erforderliche Berechtigungen für das Projekt. Es ist im IAM-Bereich der Google Cloud Console aufgeführt. Das Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Cloud DLP von diesem Dienstkonto abhängig ist, wird nicht empfohlen, sie zu entfernen.

Jobberechtigungen

Name der Berechtigung Beschreibung
dlp.jobs.create Neue Jobs erstellen
dlp.jobs.cancel Jobs abbrechen
dlp.jobs.delete Jobs löschen
dlp.jobs.get Jobobjekte lesen
dlp.jobs.list Jobs auflisten

Berechtigungen für Jobtrigger

Name der Berechtigung Beschreibung
dlp.jobTriggers.create Neue Jobtrigger erstellen
dlp.jobTriggers.delete Jobtrigger löschen
dlp.jobTriggers.get Jobtriggerobjekte lesen
dlp.jobTriggers.list Jobtrigger auflisten
dlp.jobTriggers.update Jobtrigger aktualisieren

Berechtigungen für Inspektionsvorlagen

Name der Berechtigung Beschreibung
dlp.inspectTemplates.create Neue Inspektionsvorlagen erstellen
dlp.inspectTemplates.delete Inspektionsvorlagen löschen
dlp.inspectTemplates.get Inspektionsvorlagenobjekte lesen
dlp.inspectTemplates.list Inspektionsvorlagen auflisten
dlp.inspectTemplates.update Inspektionsvorlagen aktualisieren

Berechtigungen für De-Identifikation-Vorlagen

Name der Berechtigung Beschreibung
dlp.deidentifyTemplates.create Neue De-Identifizierungsvorlagen erstellen
dlp.deidentifyTemplates.delete De-Identifikation-Vorlagen löschen
dlp.deidentifyTemplates.get De-Identifikation-Vorlagenobjekte lesen
dlp.deidentifyTemplates.list De-Identifikation-Vorlagen auflisten
dlp.deidentifyTemplates.update De-Identifikation-Vorlagen aktualisieren

Berechtigungen für gespeicherte InfoTypes

Name der Berechtigung Beschreibung
dlp.storedInfoTypes.create Neue gespeicherte Infotypen erstellen
dlp.storedInfoTypes.delete Gespeicherte Infotypen löschen
dlp.storedInfoTypes.get Gespeicherte Infotypen lesen
dlp.storedInfoTypes.list Gespeicherte Infotypen auflisten
dlp.storedInfoTypes.update Gespeicherte Infotypen aktualisieren

Diverse Berechtigungen

Name der Berechtigung Beschreibung
dlp.kms.encrypt Inhalte mithilfe von Verschlüsselungstokens, die in Cloud KMS gespeichert wurden, de-identifizieren