Permissões do IAM para proteção de dados sensíveis

Permissões do IAM

Permissões comuns

Alguns métodos não têm permissões específicas da proteção de dados sensíveis. e usam as permissões comuns. Ainda que possam gerar eventos faturáveis, esses métodos não têm acesso a recursos de nuvem protegidos.

Todas as ações que acionam eventos faturáveis, como os métodos projects.content, exigem a permissão serviceusage.services.use para o projeto especificado em parent. Os papéis roles/editor, roles/owner e roles/dlp.user contêm a permissão necessária, ou é possível definir seus próprios papéis personalizados que contêm essa permissão.

Essa permissão garante que você tenha autorização para faturar o projeto especificado.

Conta de serviço

Para acessar os recursos do Google Cloud e executar chamadas para a proteção de dados sensíveis, a proteção de dados sensíveis usa as credenciais do Agente de serviço do Cloud Data Loss Prevention para se autenticar em outras APIs. Um agente de serviço é um tipo especial de conta de serviço que executa processos internos do Google em seu nome. O agente de serviço é identificável pelo e-mail:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

O agente de serviço de prevenção contra perda de dados do Cloud é criado na primeira vez que é necessário. Para criá-la com antecedência, faça uma chamada para InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Substitua PROJECT_ID pelo ID do projeto.

O Agente de serviço do Cloud Data Loss Prevention recebe automaticamente permissões comuns no projeto necessárias para inspecionar recursos e está listado na seção "IAM" do console do Google Cloud. Essa agente de serviço permanece indefinidamente no projeto até que ele seja excluído. A proteção de dados sensíveis depende desse agente de serviço, portanto, não o remova.

Para mais informações sobre como as contas de serviço são usadas em operações de criação de perfil de dados, consulte Contêiner e agente de serviço.

Permissões de job

Nome da permissão Descrição
dlp.jobs.create Criar novos jobs.
dlp.jobs.cancel Cancelar jobs.
dlp.jobs.delete Excluir jobs.
dlp.jobs.get Ler objetos de job.
dlp.jobs.list Listar jobs.
dlp.jobs.hybridInspect Faça uma chamada de inspeção híbrida em um job híbrido

Permissões do gatilho de jobs

Nome da permissão Descrição
dlp.jobTriggers.create Criar novos gatilhos de job.
dlp.jobTriggers.delete Excluir gatilhos de jobs.
dlp.jobTriggers.get Ler objetos de acionador de jobs.
dlp.jobTriggers.list Listar gatilhos de jobs.
dlp.jobTriggers.update Atualizar gatilhos de jobs.
dlp.jobTriggers.hybridInspect Fazer uma chamada de inspeção híbrida em um gatilho híbrido

Permissões do modelo de inspeção

Nome da permissão Descrição
dlp.inspectTemplates.create Criar novos modelos de inspeção.
dlp.inspectTemplates.delete Excluir modelos de inspeção.
dlp.inspectTemplates.get Ler objetos de modelo de inspeção.
dlp.inspectTemplates.list Listar modelos de inspeção.
dlp.inspectTemplates.update Atualizar modelos de inspeção.

Permissões do modelo de desidentificação

Nome da permissão Descrição
dlp.deidentifyTemplates.create Criar novos modelos de desidentificação.
dlp.deidentifyTemplates.delete Excluir modelos de desidentificação.
dlp.deidentifyTemplates.get Ler objetos de modelo de desidentificação.
dlp.deidentifyTemplates.list Listar modelos de desidentificação.
dlp.deidentifyTemplates.update Atualizar modelos de desidentificação.

Permissões do perfil de dados

Nome da permissão Descrição
dlp.projectDataProfiles.list Listar perfis de dados do projeto.
dlp.projectDataProfiles.get Ler objetos de perfis de dados do projeto.
dlp.tableDataProfiles.delete Excluir um único perfil de tabela e os perfis de coluna dele.
dlp.tableDataProfiles.list Listar perfis de dados da tabela.
dlp.tableDataProfiles.get Ler objetos de perfis de dados da tabela.
dlp.columnDataProfiles.list Listar perfis de dados da coluna.
dlp.columnDataProfiles.get Ler objetos de perfil de dados da coluna.

Estimar permissões

Nome da permissão Descrição
dlp.estimates.get Ler objetos de estimativa.
dlp.estimates.list Listar objetos de estimativa.
dlp.estimates.create Criar um objeto de estimativa.
dlp.estimates.delete Excluir um objeto de estimativa.
dlp.estimates.cancel Cancelar uma estimativa em andamento.

Permissões infoType armazenadas

Nome da permissão Descrição
dlp.storedInfoTypes.create Criar novos infoTypes armazenados.
dlp.storedInfoTypes.delete Excluir infotipos armazenados.
dlp.storedInfoTypes.get Ler infoTypes armazenados.
dlp.storedInfoTypes.list Listar infotipos armazenados.
dlp.storedInfoTypes.update Atualizar infotipos armazenados.

Permissões de inscrição

Nome da permissão Descrição
dlp.subscriptions.get criar novas assinaturas;
dlp.subscriptions.list Listar assinaturas.
dlp.subscriptions.create Criar assinaturas.
dlp.subscriptions.cancel Cancelar assinaturas
dlp.subscriptions.update Atualizar assinaturas.

Permissões variadas

Nome da permissão Descrição
dlp.kms.encrypt Desidentificar conteúdo usando tokens de criptografia mantidos no Cloud KMS.