Izin IAM Perlindungan Data Sensitif

Izin IAM

Izin umum

Beberapa metode tidak memiliki izin khusus Perlindungan Data Sensitif. Sebaliknya, metode tersebut menggunakan metode yang umum, karena metode tersebut dapat menyebabkan peristiwa yang dapat ditagih, tetapi tidak mengakses resource cloud yang dilindungi.

Semua tindakan yang memicu peristiwa yang dapat ditagih seperti metode projects.content memerlukan izin serviceusage.services.use untuk project yang ditentukan dalam parent. Peran roles/editor, roles/owner, dan roles/dlp.user berisi izin yang diperlukan atau Anda dapat menentukan peran khusus Anda sendiri yang berisi izin ini.

Izin ini memastikan Anda berwenang untuk menagih project yang ditentukan.

Akun layanan

Untuk mengakses kedua resource Google Cloud dan menjalankan panggilan ke Perlindungan Data Sensitif, Perlindungan Data Sensitif menggunakan kredensial Agen Layanan Pencegahan Kebocoran Data Cloud untuk melakukan autentikasi ke API lain. Agen layanan adalah jenis akun layanan khusus yang menjalankan proses internal Google atas nama Anda. Agen layanan dapat diidentifikasi menggunakan email:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

Agen Layanan Pencegahan Kebocoran Data Cloud dibuat saat pertama kali diperlukan. Anda dapat membuatnya terlebih dahulu dengan melakukan panggilan ke InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Ganti PROJECT_ID dengan project ID.

Agen Layanan Pencegahan Kebocoran Data Cloud akan otomatis diberi izin umum pada project yang diperlukan untuk memeriksa resource dan tercantum di bagian IAM pada Konsol Google Cloud. Agen layanan ada tanpa batas waktu bersama project dan hanya akan dihapus jika project dihapus. Perlindungan Data Sensitif bergantung pada agen layanan ini, jadi Anda tidak boleh menghapusnya.

Untuk mengetahui informasi selengkapnya tentang cara akun layanan digunakan dalam operasi pembuatan profil data, lihat Penampung agen layanan dan agen layanan.

Izin pekerjaan

Nama izin Deskripsi
dlp.jobs.create Membuat tugas baru.
dlp.jobs.cancel Membatalkan tugas.
dlp.jobs.delete Hapus tugas.
dlp.jobs.get Membaca objek tugas.
dlp.jobs.list Mencantumkan tugas.
dlp.jobs.hybridInspect Melakukan panggilan pemeriksaan hybrid pada tugas hybrid.

Izin pemicu tugas

Nama izin Deskripsi
dlp.jobTriggers.create Buat pemicu tugas baru.
dlp.jobTriggers.delete Hapus pemicu tugas.
dlp.jobTriggers.get Membaca objek pemicu tugas.
dlp.jobTriggers.list Mencantumkan pemicu tugas.
dlp.jobTriggers.update Perbarui pemicu tugas.
dlp.jobTriggers.hybridInspect Membuat panggilan pemeriksaan campuran pada pemicu campuran.

Izin template pemeriksaan

Nama izin Deskripsi
dlp.inspectTemplates.create Membuat template inspeksi baru.
dlp.inspectTemplates.delete Menghapus template inspeksi.
dlp.inspectTemplates.get Membaca objek template inspeksi.
dlp.inspectTemplates.list Mencantumkan template inspeksi.
dlp.inspectTemplates.update Memperbarui template inspeksi.

Izin template de-identifikasi

Nama izin Deskripsi
dlp.deidentifyTemplates.create Membuat template de-identifikasi baru.
dlp.deidentifyTemplates.delete Menghapus template de-identifikasi.
dlp.deidentifyTemplates.get Membaca objek template de-identifikasi.
dlp.deidentifyTemplates.list Template de-identifikasi daftar.
dlp.deidentifyTemplates.update Memperbarui template de-identifikasi.

Izin profil data

Nama izin Deskripsi
dlp.projectDataProfiles.list Mencantumkan profil data project.
dlp.projectDataProfiles.get Membaca objek profil data project.
dlp.tableDataProfiles.delete Menghapus satu profil tabel dan profil kolomnya.
dlp.tableDataProfiles.list Mencantumkan profil data tabel.
dlp.tableDataProfiles.get Membaca objek profil data tabel.
dlp.columnDataProfiles.list Mencantumkan profil data kolom.
dlp.columnDataProfiles.get Membaca objek profil data kolom.

Perkirakan izin

Nama izin Deskripsi
dlp.estimates.get Membaca objek estimasi.
dlp.estimates.list Mencantumkan objek estimasi.
dlp.estimates.create Buat objek estimasi.
dlp.estimates.delete Hapus objek estimasi.
dlp.estimates.cancel Batalkan estimasi yang sedang berlangsung.

Izin infoType tersimpan

Nama izin Deskripsi
dlp.storedInfoTypes.create Buat infotype baru yang disimpan.
dlp.storedInfoTypes.delete Hapus infotype yang tersimpan.
dlp.storedInfoTypes.get Membaca infotype yang tersimpan.
dlp.storedInfoTypes.list Mencantumkan infotype yang tersimpan.
dlp.storedInfoTypes.update Perbarui infotype yang tersimpan.

Izin langganan

Nama izin Deskripsi
dlp.subscriptions.get Membuat langganan baru.
dlp.subscriptions.list Mencantumkan langganan.
dlp.subscriptions.create Membuat langganan.
dlp.subscriptions.cancel Membatalkan langganan.
dlp.subscriptions.update Memperbarui langganan.

Izin lain-lain

Nama izin Deskripsi
dlp.kms.encrypt Lakukan de-identifikasi konten menggunakan token enkripsi yang disimpan di Cloud KMS.