Autorizzazioni IAM di Cloud DLP

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.
Autorizzazioni IAM

Autorizzazioni comuni

Alcuni metodi non dispongono delle autorizzazioni specifiche per Cloud DLP. ma utilizzano quelli comuni, in quanto i metodi possono causare eventi fatturabili, ma non consentono di accedere alle risorse cloud protette.

Tutte le azioni che attivano eventi fatturabili come i metodi projects.content richiedono l'autorizzazione serviceusage.services.use per il progetto specificato in parent. I ruoli roles/editor, roles/owner e roles/dlp.user contengono l'autorizzazione richiesta oppure puoi definire ruoli personalizzati personalizzati contenenti questa autorizzazione.

Questa autorizzazione garantisce la tua autorizzazione a fatturare il progetto specificato.

Account di servizio

Per accedere alle risorse Google Cloud ed eseguire le chiamate a Cloud DLP, Cloud DLP utilizza le credenziali di Cloud Data Loss Prevention Service Agent per l'autenticazione con altre API. Un agente di servizio è un tipo speciale di account di servizio che esegue i processi interni di Google per tuo conto. L'agente di servizio è identificabile tramite l'indirizzo email:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

L'agente di servizio Cloud Data Loss Prevention viene creato la prima volta che è necessario. Puoi crearlo in anticipo effettuando una chiamata a InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Sostituisci PROJECT_ID con l'ID progetto.

All'agente di servizio di prevenzione della perdita di dati Cloud vengono automaticamente concesse le autorizzazioni comuni per il progetto, necessarie per ispezionare le risorse, che vengono elencate nella sezione IAM di Google Cloud Console. L'agente di servizio esiste a tempo indeterminato con il progetto e viene eliminato solo quando il progetto viene eliminato. Cloud DLP si basa su questo agente di servizio, quindi non devi rimuoverlo.

Per ulteriori informazioni su come vengono utilizzati gli account di servizio nelle operazioni di profilazione dei dati, consulta Container Service e agente di servizio.

Autorizzazioni job

Nome autorizzazione Descrizione
dlp.jobs.create Crea nuovi lavori.
dlp.jobs.cancel Annulla job.
dlp.jobs.delete Elimina i job.
dlp.jobs.get Legge gli oggetti dei job.
dlp.jobs.list Elenca i job.
dlp.jobs.hybridInspect Effettuare una chiamata di ispezione ibrida per un lavoro ibrido.

Autorizzazioni per l'attivazione del job

Nome autorizzazione Descrizione
dlp.jobTriggers.create Crea nuovi trigger di job.
dlp.jobTriggers.delete Elimina trigger job.
dlp.jobTriggers.get Lettura degli oggetti attivatore del job.
dlp.jobTriggers.list Elenca trigger del job.
dlp.jobTriggers.update Aggiorna i trigger di job.
dlp.jobTriggers.hybridInspect Effettua una chiamata di ispezione ibrida su un attivatore ibrido.

Autorizzazioni relative al modello di ispezione

Nome autorizzazione Descrizione
dlp.inspectTemplates.create Creare nuovi modelli di ispezione.
dlp.inspectTemplates.delete Elimina i modelli di ispezione.
dlp.inspectTemplates.get Lettura di oggetti del modello di ispezione.
dlp.inspectTemplates.list Elenca i modelli di ispezione.
dlp.inspectTemplates.update Aggiorna i modelli di ispezione.

Autorizzazioni per l'anonimizzazione dei modelli

Nome autorizzazione Descrizione
dlp.deidentifyTemplates.create Creare nuovi modelli di anonimizzazione.
dlp.deidentifyTemplates.delete Elimina i modelli di anonimizzazione.
dlp.deidentifyTemplates.get Lettura di oggetti di anonimizzazione.
dlp.deidentifyTemplates.list Elencare i modelli di anonimizzazione.
dlp.deidentifyTemplates.update Aggiornare i modelli di anonimizzazione.

Autorizzazioni profilo dati

Nome autorizzazione Descrizione
dlp.projectDataProfiles.list Elenca i profili di dati del progetto.
dlp.projectDataProfiles.get Legge gli oggetti del profilo dati del progetto.
dlp.tableDataProfiles.list Elenca i profili dati delle tabelle.
dlp.tableDataProfiles.get Legge gli oggetti del profilo dati della tabella.
dlp.columnDataProfiles.list Elenca i profili dati delle colonne.
dlp.columnDataProfiles.get Legge gli oggetti del profilo dati della colonna.

Stima le autorizzazioni

Nome autorizzazione Descrizione
dlp.estimates.get Lettura oggetti stima.
dlp.estimates.list Elencare gli oggetti di stima.
dlp.estimates.create Crea un oggetto per la stima.
dlp.estimates.delete Elimina un oggetto stima.
dlp.estimates.cancel Annulla una stima in corso.

Autorizzazioni infoType archiviate

Nome autorizzazione Descrizione
dlp.storedInfoTypes.create Crea nuovi tipi di informazioni archiviate.
dlp.storedInfoTypes.delete Elimina i tipi di informazioni memorizzati.
dlp.storedInfoTypes.get Lettura di infotipi archiviati.
dlp.storedInfoTypes.list Elenca gli infotipi archiviati.
dlp.storedInfoTypes.update Aggiorna i tipi di informazioni memorizzati.

Autorizzazioni varie

Nome autorizzazione Descrizione
dlp.kms.encrypt Anonimizza i contenuti utilizzando i token di crittografia persistenti in Cloud KMS.