Allgemeine Berechtigungen
Einige Methoden haben keine Cloud DLP-spezifischen Berechtigungen. Stattdessen verwenden sie allgemeine Berechtigungen, da die Methoden kostenpflichtige Ereignisse verursachen können, aber nicht auf geschützte Cloud-Ressourcen zugreifen.
Für alle Aktionen, die kostenpflichtige Ereignisse auslösen, wie die projects.content-Methoden, ist die Berechtigung serviceusage.services.use für das in parent angegebene Projekt erforderlich. Die Rollen roles/editor, roles/owner und roles/dlp.user enthalten die erforderliche Berechtigung. Sie können aber auch Ihre eigene benutzerdefinierte Rolle definieren.
Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen.
Dienstkonto
Wenn Cloud DLP aktiviert ist, wird ein Dienstkonto für das Projekt erstellt.
Cloud DLP authentifiziert sich mit den Anmeldedaten des Google APIs-Dienstkontos gegenüber anderen APIs, um auf Ressourcen der Google Cloud zuzugreifen und Anrufe von Cloud DLP über JobTrigger auszuführen. Das Google APIs-Dienstkonto ist speziell für die Ausführung interner Google-Prozesse in Ihrem Namen vorgesehen. Das Dienstkonto ist durch die E-Mail-Adresse identifizierbar:
service-[PROJECT_NUMBER]@dlp-api.iam.gserviceaccount.com
Das Google APIs-Dienstkonto erhält automatisch allgemeine, zum Prüfen von Ressourcen erforderliche Berechtigungen für das Projekt. Es ist im IAM-Bereich der Google Cloud Console aufgeführt. Das Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Cloud DLP von diesem Dienstkonto abhängig ist, wird nicht empfohlen, sie zu entfernen.
Jobberechtigungen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.jobs.create |
Neue Jobs erstellen |
dlp.jobs.cancel |
Jobs abbrechen |
dlp.jobs.delete |
Jobs löschen |
dlp.jobs.get |
Jobobjekte lesen |
dlp.jobs.list |
Jobs auflisten |
Berechtigungen für Jobtrigger
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.jobTriggers.create |
Neue Jobtrigger erstellen |
dlp.jobTriggers.delete |
Jobtrigger löschen |
dlp.jobTriggers.get |
Jobtriggerobjekte lesen |
dlp.jobTriggers.list |
Jobtrigger auflisten |
dlp.jobTriggers.update |
Jobtrigger aktualisieren |
Berechtigungen für Inspektionsvorlagen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.inspectTemplates.create |
Neue Inspektionsvorlagen erstellen |
dlp.inspectTemplates.delete |
Inspektionsvorlagen löschen |
dlp.inspectTemplates.get |
Inspektionsvorlagenobjekte lesen |
dlp.inspectTemplates.list |
Inspektionsvorlagen auflisten |
dlp.inspectTemplates.update |
Inspektionsvorlagen aktualisieren |
Berechtigungen für De-Identifikation-Vorlagen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.deidentifyTemplates.create |
Neue De-Identifizierungsvorlagen erstellen |
dlp.deidentifyTemplates.delete |
De-Identifikation-Vorlagen löschen |
dlp.deidentifyTemplates.get |
De-Identifikation-Vorlagenobjekte lesen |
dlp.deidentifyTemplates.list |
De-Identifikation-Vorlagen auflisten |
dlp.deidentifyTemplates.update |
De-Identifikation-Vorlagen aktualisieren |
Berechtigungen für gespeicherte InfoTypes
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.storedInfoTypes.create |
Neue gespeicherte Infotypen erstellen |
dlp.storedInfoTypes.delete |
Gespeicherte Infotypen löschen |
dlp.storedInfoTypes.get |
Gespeicherte Infotypen lesen |
dlp.storedInfoTypes.list |
Gespeicherte Infotypen auflisten |
dlp.storedInfoTypes.update |
Gespeicherte Infotypen aktualisieren |
Diverse Berechtigungen
| Name der Berechtigung | Beschreibung |
|---|---|
dlp.kms.encrypt |
Inhalte mithilfe von Verschlüsselungstokens, die in Cloud KMS gespeichert wurden, de-identifizieren |