Permisos de IAM de Cloud DLP

Permisos de IAM

Permisos comunes

Algunos métodos no tienen permisos específicos de Cloud DLP. En su lugar, usan algunos comunes, como los métodos que pueden generar eventos facturables, pero no acceder a ningún recurso de nube protegido.

Todas las acciones que activan eventos facturables, como los métodos projects.content, requieren el permiso serviceusage.services.use para el proyecto que se especifica en parent. Las funciones roles/editor, roles/owner y roles/dlp.user contienen el permiso requerido, o puedes definir tus propias funciones personalizadas que contienen este permiso.

Este permiso te asegura la autorización para facturar el proyecto que especificaste.

Cuenta de servicio

Cuando Cloud DLP está habilitado, se agrega una cuenta de servicio al proyecto.

Para acceder a los recursos de Google Cloud y ejecutar llamadas a Cloud DLP mediante un JobTrigger, Cloud DLP usa las credenciales de la cuenta de servicio de las API de Google para autenticarse ante otras API. La cuenta de servicio de las API de Google está diseñada específicamente para ejecutar procesos internos de Google en tu nombre. La cuenta de servicio se identifica mediante este correo electrónico:

service-[PROJECT_NUMBER]@dlp-api.iam.gserviceaccount.com

La cuenta de servicio de las API de Google recibe automáticamente los permisos comunes sobre el proyecto necesario para inspeccionar recursos y aparece en la sección de IAM de Google Cloud Console. La cuenta de servicio existe de manera indefinida con el proyecto y se borra solo cuando se borra el proyecto. No recomendamos que quites esta cuenta de servicio, ya que es confiable para Cloud DLP.

Permisos de trabajo

Nombre del permiso Descripción
dlp.jobs.create Crea trabajos nuevos.
dlp.jobs.cancel Cancela trabajos.
dlp.jobs.delete Borra trabajos.
dlp.jobs.get Lee objetos de trabajo.
dlp.jobs.list Haz una lista de trabajos.

Permisos de activador de trabajo

Nombre del permiso Descripción
dlp.jobTriggers.create Crea activadores de trabajo nuevos.
dlp.jobTriggers.delete Borra activadores de trabajo.
dlp.jobTriggers.get Lee objetos de activador de trabajo.
dlp.jobTriggers.list Genera una lista de activadores de trabajo.
dlp.jobTriggers.update Actualiza activadores de trabajo.

Permisos de plantilla de inspección

Nombre del permiso Descripción
dlp.inspectTemplates.create Crea nuevas plantillas de inspección.
dlp.inspectTemplates.delete Borra las plantillas de inspección.
dlp.inspectTemplates.get Lee los objetos de la plantilla de inspección.
dlp.inspectTemplates.list Enumera las plantillas de inspección.
dlp.inspectTemplates.update Actualiza las plantillas de inspección.

Permisos de plantilla de desidentificación

Nombre del permiso Descripción
dlp.deidentifyTemplates.create Crea nuevas plantillas de desidentificación.
dlp.deidentifyTemplates.delete Borra las plantillas de desidentificación.
dlp.deidentifyTemplates.get Lee los objetos de la plantilla de desidentificación.
dlp.deidentifyTemplates.list Genera una lista de las plantillas de desidentificación.
dlp.deidentifyTemplates.update Actualiza las plantillas de desidentificación.

Permisos de Infotipos almacenados

Nombre del permiso Descripción
dlp.storedInfoTypes.create Crea infotipos almacenados nuevos.
dlp.storedInfoTypes.delete Borra infotipos almacenados.
dlp.storedInfoTypes.get Lee infotipos almacenados.
dlp.storedInfoTypes.list Haz una lista de infotipos almacenados.
dlp.storedInfoTypes.update Actualiza infotipos almacenados.

Permisos misceláneos

Nombre del permiso Descripción
dlp.kms.encrypt Desidentifica el contenido con tokens de encriptación persistentes en Cloud KMS.