Permissões do IAM do Cloud DLP

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.
Permissões IAM

Permissões comuns

Alguns métodos não têm permissões específicas do Cloud DLP e usam as permissões comuns. Ainda que possam gerar eventos faturáveis, esses métodos não têm acesso a recursos de nuvem protegidos.

Todas as ações que acionam eventos faturáveis, como os métodos projects.content, exigem a permissão serviceusage.services.use para o projeto especificado em parent. Os papéis roles/editor, roles/owner e roles/dlp.user contêm a permissão necessária, ou é possível definir seus próprios papéis personalizados que contêm essa permissão.

Essa permissão garante que você tenha autorização para faturar o projeto especificado.

Conta de serviço

Para acessar os recursos do Google Cloud e executar chamadas no Cloud DLP, o Cloud DLP usa as credenciais do agente de serviço de prevenção contra perda de dados para fazer autenticação em outras APIs. Um agente de serviço é um tipo especial de conta de serviço que executa processos internos do Google em seu nome. O agente de serviço é identificável pelo e-mail:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

O agente de serviço de prevenção contra perda de dados do Cloud é criado na primeira vez que é necessário. Para criá-la com antecedência, faça uma chamada para InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Substitua PROJECT_ID pelo ID do projeto.

O agente de serviço do Cloud Data Loss Prevention recebe automaticamente permissões comuns no projeto que são necessárias para inspecionar recursos e é listado na seção de IAM do Console do Google Cloud. Essa agente de serviço permanece indefinidamente no projeto até que ele seja excluído. O Cloud DLP depende desse agente de serviço, então não o remova.

Para mais informações sobre como as contas de serviço são usadas nas operações de criação de perfil de dados, consulte Contêiner e agente de serviço.

Permissões de job

Nome da permissão Descrição
dlp.jobs.create Criar novos jobs.
dlp.jobs.cancel Cancelar jobs.
dlp.jobs.delete Excluir jobs.
dlp.jobs.get Ler objetos de job.
dlp.jobs.list Listar jobs.
dlp.jobs.hybridInspect Faça uma chamada de inspeção híbrida em um job híbrido

Permissões do gatilho de jobs

Nome da permissão Descrição
dlp.jobTriggers.create Criar novos gatilhos de job.
dlp.jobTriggers.delete Excluir gatilhos de jobs.
dlp.jobTriggers.get Ler objetos de acionador de jobs.
dlp.jobTriggers.list Listar gatilhos de jobs.
dlp.jobTriggers.update Atualizar gatilhos de jobs.
dlp.jobTriggers.hybridInspect Fazer uma chamada de inspeção híbrida em um gatilho híbrido

Permissões do modelo de inspeção

Nome da permissão Descrição
dlp.inspectTemplates.create Criar novos modelos de inspeção.
dlp.inspectTemplates.delete Excluir modelos de inspeção.
dlp.inspectTemplates.get Ler objetos de modelo de inspeção.
dlp.inspectTemplates.list Listar modelos de inspeção.
dlp.inspectTemplates.update Atualizar modelos de inspeção.

Permissões do modelo de desidentificação

Nome da permissão Descrição
dlp.deidentifyTemplates.create Criar novos modelos de desidentificação.
dlp.deidentifyTemplates.delete Excluir modelos de desidentificação.
dlp.deidentifyTemplates.get Ler objetos de modelo de desidentificação.
dlp.deidentifyTemplates.list Listar modelos de desidentificação.
dlp.deidentifyTemplates.update Atualizar modelos de desidentificação.

Permissões do perfil de dados

Nome da permissão Descrição
dlp.projectDataProfiles.list Listar perfis de dados do projeto.
dlp.projectDataProfiles.get Ler objetos de perfis de dados do projeto.
dlp.tableDataProfiles.list Listar perfis de dados da tabela.
dlp.tableDataProfiles.get Ler objetos de perfis de dados da tabela.
dlp.columnDataProfiles.list Listar perfis de dados da coluna.
dlp.columnDataProfiles.get Ler objetos de perfil de dados da coluna.

Estimar permissões

Nome da permissão Descrição
dlp.estimates.get Ler objetos de estimativa.
dlp.estimates.list Listar objetos de estimativa.
dlp.estimates.create Criar um objeto de estimativa.
dlp.estimates.delete Excluir um objeto de estimativa.
dlp.estimates.cancel Cancelar uma estimativa em andamento.

Permissões infoType armazenadas

Nome da permissão Descrição
dlp.storedInfoTypes.create Criar novos infoTypes armazenados.
dlp.storedInfoTypes.delete Excluir infotipos armazenados.
dlp.storedInfoTypes.get Ler infoTypes armazenados.
dlp.storedInfoTypes.list Listar infotipos armazenados.
dlp.storedInfoTypes.update Atualizar infotipos armazenados.

Permissões variadas

Nome da permissão Descrição
dlp.kms.encrypt Desidentificar conteúdo usando tokens de criptografia mantidos no Cloud KMS.