Cloud DLP の IAM 権限

IAM 権限

共通権限

一部のメソッドには、Cloud DLP 固有の権限がありません。代わりに、共通権限を使用します。これは、これらのメソッドによって課金可能なイベントが発生する可能性がありますが、保護されたクラウド リソースにアクセスしないためです。

projects.content メソッドなどの課金可能なイベントをトリガーするすべてのアクションには、parent で指定されたプロジェクトに対する serviceusage.services.use 権限が必要です。roles/editorroles/ownerroles/dlp.user の役割には必要な権限が含まれていますが、この権限を含めて独自のカスタム役割を定義することもできます。

この権限により、指定したプロジェクトに課金する権限が与えられます。

サービス アカウント

Cloud DLP を有効にすると、サービス アカウントがプロジェクトに追加されます。

Google Cloud Platform リソースにアクセスして、JobTrigger によって Cloud DLP への呼び出しを実行するために、Cloud DLP は Google API サービス アカウントの認証情報を使用して、他の API を認証します。Google API サービス アカウントは、ユーザーの代わりに内部の Google プロセスを実行することに特化して設計されています。このサービス アカウントは、次のメールを使用して識別されます。

service-[PROJECT_NUMBER]@dlp-api.iam.gserviceaccount.com

Google API サービス アカウントには、リソースの検査に必要なプロジェクトに対する共通権限が自動的に付与され、Google Cloud Platform Console の [IAM] セクションに一覧表示されます。このサービス アカウントは、常にプロジェクトと一緒に存在し、プロジェクトを削除した場合にのみ削除されます。Cloud DLP はこのサービス アカウントを利用しているため、削除しないようにしてください。

ジョブ権限

権限名 説明
dlp.jobs.create 新しいジョブを作成します。
dlp.jobs.cancel ジョブをキャンセルします。
dlp.jobs.delete ジョブを削除します。
dlp.jobs.get ジョブ オブジェクトを読み取ります。
dlp.jobs.list ジョブを一覧表示します。

ジョブトリガー権限

権限名 説明
dlp.jobTriggers.create 新しいジョブトリガーを作成します。
dlp.jobTriggers.cancel ジョブトリガーをキャンセルします。
dlp.jobTriggers.delete ジョブトリガーを削除します。
dlp.jobTriggers.get ジョブトリガー オブジェクトを読み取ります。
dlp.jobTriggers.list ジョブトリガーを一覧表示します。

検査テンプレート権限

権限名 説明
dlp.inspectTemplates.create 新しい検査テンプレートを作成します。
dlp.inspectTemplates.delete 検査テンプレートを削除します。
dlp.inspectTemplates.get テンプレート オブジェクトを読み取ります。
dlp.inspectTemplates.list 検査テンプレートを一覧表示します。
dlp.inspectTemplates.update 検査テンプレートを更新します。

匿名化テンプレート権限

権限名 説明
dlp.deidentifyTemplates.create 新しい匿名化テンプレートを作成します。
dlp.deidentifyTemplates.delete 匿名化テンプレートを削除します。
dlp.deidentifyTemplates.get テンプレート オブジェクトを読み取ります。
dlp.deidentifyTemplates.list 匿名化テンプレートを一覧表示します。
dlp.deidentifyTemplates.update 匿名化テンプレートを更新します。

格納される infoType 権限

権限名 説明
dlp.storedInfoTypes.create 新しい格納される infoType を作成します。
dlp.storedInfoTypes.delete 格納される infoType を削除します。
dlp.storedInfoTypes.get 格納される infoType を読み取ります。
dlp.storedInfoTypes.list 格納される infoType を一覧表示します。
dlp.storedInfoTypes.update 格納される infoType を更新します。

その他の権限

権限名 説明
dlp.kms.encrypt Cloud KMS に保持されている暗号化トークンを使用してコンテンツを匿名化します。
このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Data Loss Prevention のドキュメント