Permisos de IAM de Cloud DLP

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.
Permisos de IAM

Permisos comunes

Algunos métodos no tienen permisos específicos de Cloud DLP. En su lugar, usan algunos comunes, como los métodos que pueden generar eventos facturables, pero no acceder a ningún recurso de nube protegido.

Todas las acciones que activan eventos facturables, como los métodos projects.content, requieren el permiso serviceusage.services.use para el proyecto que se especifica en parent. Las funciones roles/editor, roles/owner y roles/dlp.user contienen el permiso requerido, o puedes definir tus propias funciones personalizadas que contienen este permiso.

Este permiso te asegura la autorización para facturar el proyecto que especificaste.

Cuenta de servicio

Para acceder a los recursos de Google Cloud y ejecutar llamadas a Cloud DLP, este usa las credenciales del agente de servicio de Prevención de pérdida de datos de Cloud para autenticarse en otras API. Un agente de servicio es un tipo especial de cuenta de servicio que ejecuta procesos internos de Google en tu nombre. El agente de servicio se puede identificar con este correo electrónico:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

El agente de servicio de Cloud Data Loss Prevention se crea la primera vez que se necesita. Puedes crearla con anticipación si llamas a InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Reemplaza PROJECT_ID por el ID del proyecto.

El agente de servicio de Cloud Data Loss Prevention recibe de manera automática los permisos comunes en el proyecto que se necesitan para inspeccionar los recursos y se muestra en la sección de IAM de Google Cloud Console. El agente de servicio existe de manera indefinida con el proyecto y solo se borra cuando se borra el proyecto. Cloud DLP depende de este agente de servicio, por lo que no debes quitarlo.

Para obtener más información sobre cómo se usan las cuentas de servicio en las operaciones de creación de perfiles de datos, consulta la sección sobre el agente del servicio y el contenedor del agente de servicio.

Permisos de trabajo

Nombre del permiso Descripción
dlp.jobs.create Crea trabajos nuevos.
dlp.jobs.cancel Cancela trabajos.
dlp.jobs.delete Borra trabajos.
dlp.jobs.get Lee objetos de trabajo.
dlp.jobs.list Haz una lista de trabajos.
dlp.jobs.hybridInspect Realiza una llamada de inspección híbrida en un trabajo híbrido.

Permisos de activador de trabajo

Nombre del permiso Descripción
dlp.jobTriggers.create Crea activadores de trabajo nuevos.
dlp.jobTriggers.delete Borra activadores de trabajo.
dlp.jobTriggers.get Lee objetos de activador de trabajo.
dlp.jobTriggers.list Genera una lista de activadores de trabajo.
dlp.jobTriggers.update Actualiza activadores de trabajo.
dlp.jobTriggers.hybridInspect Haz una llamada de inspección híbrida en un activador híbrido.

Permisos de plantilla de inspección

Nombre del permiso Descripción
dlp.inspectTemplates.create Crea nuevas plantillas de inspección.
dlp.inspectTemplates.delete Borra las plantillas de inspección.
dlp.inspectTemplates.get Lee los objetos de la plantilla de inspección.
dlp.inspectTemplates.list Enumera las plantillas de inspección.
dlp.inspectTemplates.update Actualiza las plantillas de inspección.

Permisos de plantilla de desidentificación

Nombre del permiso Descripción
dlp.deidentifyTemplates.create Crea nuevas plantillas de desidentificación.
dlp.deidentifyTemplates.delete Borra las plantillas de desidentificación.
dlp.deidentifyTemplates.get Lee los objetos de la plantilla de desidentificación.
dlp.deidentifyTemplates.list Genera una lista de las plantillas de desidentificación.
dlp.deidentifyTemplates.update Actualiza las plantillas de desidentificación.

Permisos del perfil de datos

Nombre del permiso Descripción
dlp.projectDataProfiles.list Enumerar los perfiles de datos del proyecto.
dlp.projectDataProfiles.get Lee los objetos del perfil de datos del proyecto.
dlp.tableDataProfiles.list Enumerar perfiles de datos de tablas
dlp.tableDataProfiles.get Lee los objetos del perfil de datos de la tabla.
dlp.columnDataProfiles.list Enumerar los perfiles de datos de las columnas
dlp.columnDataProfiles.get Lee objetos de perfil de datos de columna.

Permisos estimados

Nombre del permiso Descripción
dlp.estimates.get Lee objetos de estimación.
dlp.estimates.list Enumerar objetos de estimación
dlp.estimates.create Crea un objeto de estimación.
dlp.estimates.delete Borra un objeto de estimación.
dlp.estimates.cancel Cancelar una estimación en curso

Permisos de Infotipos almacenados

Nombre del permiso Descripción
dlp.storedInfoTypes.create Crea infotipos almacenados nuevos.
dlp.storedInfoTypes.delete Borra infotipos almacenados.
dlp.storedInfoTypes.get Lee infotipos almacenados.
dlp.storedInfoTypes.list Enumerar infotipos almacenados
dlp.storedInfoTypes.update Actualizar infotipos almacenados

Permisos varios

Nombre del permiso Descripción
dlp.kms.encrypt Desidentifica el contenido con tokens de encriptación persistentes en Cloud KMS.