Permisos de IAM de Cloud DLP

Permisos de IAM

Permisos comunes

Algunos métodos no tienen permisos específicos de Cloud DLP. En su lugar, usan algunos comunes, como los métodos que pueden generar eventos facturables, pero no acceder a ningún recurso de nube protegido.

Todas las acciones que activan eventos facturables como los métodos projects.content exigen el permiso serviceusage.services.use para el proyecto especificado en parent. Las funciones roles/editor, roles/owner y roles/dlp.user constan del permiso obligatorio o puedes definir tus propias funciones personalizadas que contengan este permiso.

Este permiso te asegura la autorización para facturar el proyecto que especificaste.

Cuenta de servicio

Cuando Cloud DLP está habilitado, se agrega una cuenta de servicio al proyecto.

Para acceder a ambos recursos de Google Cloud Platform y ejecutar llamadas a Cloud DLP por medio de un JobTrigger, Cloud DLP usa las credenciales de la cuenta de servicio de la API de Google para autenticar a otras API. La cuenta de servicio de la API de Google está diseñada de manera específica para ejecutar procesos internos de Google en tu nombre. La cuenta de servicio se identifica mediante este correo electrónico:

service-[PROJECT_NUMBER]@dlp-api.iam.gserviceaccount.com

La cuenta de servicio de la API de Google obtiene, de manera automática, permisos en el proyecto necesarios para inspeccionar recursos y se enumera en la sección IAM de Google Cloud Platform Console. La cuenta de servicio existe de manera indefinida con el proyecto y se borra solo cuando se borra el proyecto. No recomendamos que quites esta cuenta de servicio, ya que es confiable para Cloud DLP.

Permisos de trabajo

Nombre del permiso Descripción
dlp.jobs.create Crea trabajos nuevos.
dlp.jobs.cancel Cancela trabajos.
dlp.jobs.delete Borra trabajos.
dlp.jobs.get Lee objetos de trabajo.
dlp.jobs.list Haz una lista de trabajos.

Permisos de activador de trabajo

Nombre del permiso Descripción
dlp.jobTriggers.create Crea activadores de trabajo nuevos.
dlp.jobTriggers.cancel Cancela activadores de trabajo.
dlp.jobTriggers.delete Borra activadores de trabajo.
dlp.jobTriggers.get Lee objetos de activador de trabajo.
dlp.jobTriggers.list Haz una lista de activadores de trabajo.

Permisos de plantilla de inspección

Nombre del permiso Descripción
dlp.inspectTemplates.create Crea plantillas de inspección nuevas.
dlp.inspectTemplates.delete Borra plantillas de inspección.
dlp.inspectTemplates.get Lee objetos de plantilla.
dlp.inspectTemplates.list Haz una lista de plantillas de inspección.
dlp.inspectTemplates.update Actualiza plantillas de inspección.

Permisos de plantilla de desidentificación

Nombre del permiso Descripción
dlp.deidentifyTemplates.create Crea plantillas de desidentificación nuevas.
dlp.deidentifyTemplates.delete Borra plantillas de desidentificación.
dlp.deidentifyTemplates.get Lee objetos de plantilla.
dlp.deidentifyTemplates.list Haz una lista de plantillas de desidentificación.
dlp.deidentifyTemplates.update Actualiza plantillas de desidentificación.

Permisos de infotipos almacenados

Nombre del permiso Descripción
dlp.storedInfoTypes.create Crea infotipos almacenados nuevos.
dlp.storedInfoTypes.delete Borra infotipos almacenados.
dlp.storedInfoTypes.get Lee infotipos almacenados.
dlp.storedInfoTypes.list Haz una lista de infotipos almacenados.
dlp.storedInfoTypes.update Actualiza infotipos almacenados.

Permisos misceláneos

Nombre del permiso Descripción
dlp.kms.encrypt Desidentifica el contenido con tokens de encriptación persistentes en Cloud KMS.
¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Documentación sobre prevención de pérdida de datos