O Cloud Data Loss Prevention (Cloud DLP) agora faz parte da Proteção de dados confidenciais. O nome da API continua o mesmo: API Cloud Data Loss Prevention (API DLP). Saiba mais sobre os serviços que fazem parte da Proteção de dados confidenciais.

Permissões do IAM para proteção de dados sensíveis

Permissões do IAM

Permissões comuns

Alguns métodos não têm permissões específicas da proteção de dados sensíveis. e usam as permissões comuns. Ainda que possam gerar eventos faturáveis, esses métodos não têm acesso a recursos de nuvem protegidos.

Todas as ações que acionam eventos faturáveis, como os métodos projects.content, exigem a permissão serviceusage.services.use para o projeto especificado em parent. Os papéis roles/editor, roles/owner e roles/dlp.user contêm a permissão necessária, ou é possível definir seus próprios papéis personalizados que contêm essa permissão.

Essa permissão garante que você tenha autorização para faturar o projeto especificado.

Conta de serviço

Para acessar os recursos do Google Cloud e executar chamadas para a proteção de dados sensíveis, a proteção de dados sensíveis usa as credenciais do Agente de serviço do Cloud Data Loss Prevention para se autenticar em outras APIs. Um agente de serviço é um tipo especial de conta de serviço que executa processos internos do Google em seu nome. O agente de serviço é identificável pelo e-mail:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

O agente de serviço de prevenção contra perda de dados do Cloud é criado na primeira vez que é necessário. Para criá-la com antecedência, faça uma chamada para InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Substitua PROJECT_ID pelo ID do projeto.

O Agente de serviço do Cloud Data Loss Prevention recebe automaticamente permissões comuns no projeto necessárias para inspecionar recursos e está listado na seção "IAM" do console do Google Cloud. Essa agente de serviço permanece indefinidamente no projeto até que ele seja excluído. A proteção de dados sensíveis depende desse agente de serviço, portanto, não o remova.

Para mais informações sobre como as contas de serviço são usadas em operações de criação de perfil de dados, consulte Contêiner e agente de serviço.

Permissões de job

Nome da permissão	Descrição
`dlp.jobs.create`	Criar novos jobs.
`dlp.jobs.cancel`	Cancelar jobs.
`dlp.jobs.delete`	Excluir jobs.
`dlp.jobs.get`	Ler objetos de job.
`dlp.jobs.list`	Listar jobs.
`dlp.jobs.hybridInspect`	Faça uma chamada de inspeção híbrida em um job híbrido

Permissões do gatilho de jobs

Nome da permissão	Descrição
`dlp.jobTriggers.create`	Criar novos gatilhos de job.
`dlp.jobTriggers.delete`	Excluir gatilhos de jobs.
`dlp.jobTriggers.get`	Ler objetos de acionador de jobs.
`dlp.jobTriggers.list`	Listar gatilhos de jobs.
`dlp.jobTriggers.update`	Atualizar gatilhos de jobs.
`dlp.jobTriggers.hybridInspect`	Fazer uma chamada de inspeção híbrida em um gatilho híbrido

Permissões do modelo de inspeção

Nome da permissão	Descrição
`dlp.inspectTemplates.create`	Criar novos modelos de inspeção.
`dlp.inspectTemplates.delete`	Excluir modelos de inspeção.
`dlp.inspectTemplates.get`	Ler objetos de modelo de inspeção.
`dlp.inspectTemplates.list`	Listar modelos de inspeção.
`dlp.inspectTemplates.update`	Atualizar modelos de inspeção.

Permissões do modelo de desidentificação

Nome da permissão	Descrição
`dlp.deidentifyTemplates.create`	Criar novos modelos de desidentificação.
`dlp.deidentifyTemplates.delete`	Excluir modelos de desidentificação.
`dlp.deidentifyTemplates.get`	Ler objetos de modelo de desidentificação.
`dlp.deidentifyTemplates.list`	Listar modelos de desidentificação.
`dlp.deidentifyTemplates.update`	Atualizar modelos de desidentificação.

Permissões do perfil de dados

Nome da permissão	Descrição
`dlp.projectDataProfiles.list`	Listar perfis de dados do projeto.
`dlp.projectDataProfiles.get`	Ler objetos de perfis de dados do projeto.
`dlp.tableDataProfiles.delete`	Excluir um único perfil de tabela e os perfis de coluna dele.
`dlp.tableDataProfiles.list`	Listar perfis de dados da tabela.
`dlp.tableDataProfiles.get`	Ler objetos de perfis de dados da tabela.
`dlp.columnDataProfiles.list`	Listar perfis de dados da coluna.
`dlp.columnDataProfiles.get`	Ler objetos de perfil de dados da coluna.

Estimar permissões

Nome da permissão	Descrição
`dlp.estimates.get`	Ler objetos de estimativa.
`dlp.estimates.list`	Listar objetos de estimativa.
`dlp.estimates.create`	Criar um objeto de estimativa.
`dlp.estimates.delete`	Excluir um objeto de estimativa.
`dlp.estimates.cancel`	Cancelar uma estimativa em andamento.

Permissões infoType armazenadas

Nome da permissão	Descrição
`dlp.storedInfoTypes.create`	Criar novos infoTypes armazenados.
`dlp.storedInfoTypes.delete`	Excluir infotipos armazenados.
`dlp.storedInfoTypes.get`	Ler infoTypes armazenados.
`dlp.storedInfoTypes.list`	Listar infotipos armazenados.
`dlp.storedInfoTypes.update`	Atualizar infotipos armazenados.

Permissões de inscrição

Nome da permissão	Descrição
`dlp.subscriptions.get`	criar novas assinaturas;
`dlp.subscriptions.list`	Listar assinaturas.
`dlp.subscriptions.create`	Criar assinaturas.
`dlp.subscriptions.cancel`	Cancelar assinaturas
`dlp.subscriptions.update`	Atualizar assinaturas.

Permissões variadas

Nome da permissão	Descrição
`dlp.kms.encrypt`	Desidentificar conteúdo usando tokens de criptografia mantidos no Cloud KMS.