敏感数据保护 IAM 权限

IAM 权限

常用权限

某些方法没有特定于敏感数据保护的权限。而是使用常用权限,因为这些方法可能会导致可计费事件,但不会访问任何受保护的云资源。

触发可计费事件的所有操作(如 projects.content 方法)都需要 parent 中所指定项目的 serviceusage.services.use 权限。roles/editorroles/ownerroles/dlp.user 角色包含所需的权限,您也可以自行定义包含此权限的自定义角色

此权限可确保您有权对指定的项目进行结算。

服务账号

为了访问 Google Cloud 资源并执行对敏感数据保护的调用,敏感数据保护使用 Cloud Data Loss Prevention Service Agent 的凭据向其他 API 进行身份验证。服务代理是一种特殊类型的服务账号,可代表您运行内部 Google 流程。该服务代理采用如下电子邮件地址形式:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

Cloud Data Loss Prevention 服务代理是在第一次需要时创建的。您可以通过调用 InspectContent 提前创建该服务代理:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

PROJECT_ID 替换为项目 ID

Cloud Data Loss Prevention Service Agent 会自动获得检查资源所需的项目常见权限,并列在 Google Cloud 控制台的 IAM 部分中。该服务代理随项目无限期存在;只有在项目被删除时,它才会被删除。敏感数据保护依赖于此服务代理,因此您不应将其移除。

如需详细了解如何在数据分析操作中使用服务帐号,请参阅服务代理容器和服务代理

作业权限

权限名称 说明
dlp.jobs.create 创造新作业。
dlp.jobs.cancel 取消作业。
dlp.jobs.delete 删除作业。
dlp.jobs.get 读取作业对象。
dlp.jobs.list 列出作业。
dlp.jobs.hybridInspect 对混合作业进行混合检查调用。

作业触发器权限

权限名称 说明
dlp.jobTriggers.create 创建新的作业触发器。
dlp.jobTriggers.delete 删除作业触发器。
dlp.jobTriggers.get 读取作业触发器对象。
dlp.jobTriggers.list 列出作业触发器。
dlp.jobTriggers.update 更新作业触发器。
dlp.jobTriggers.hybridInspect 对混合触发器进行混合检查调用。

检查模板权限

权限名称 说明
dlp.inspectTemplates.create 创建新的检查模板。
dlp.inspectTemplates.delete 删除检查模板。
dlp.inspectTemplates.get 读取检查模板对象。
dlp.inspectTemplates.list 列出检查模板。
dlp.inspectTemplates.update 更新检查模板。

去标识化模板权限

权限名称 说明
dlp.deidentifyTemplates.create 创建新的去标识化模板。
dlp.deidentifyTemplates.delete 删除去标识化模板。
dlp.deidentifyTemplates.get 读取去标识化模板对象。
dlp.deidentifyTemplates.list 列出去标识化模板。
dlp.deidentifyTemplates.update 更新去标识化模板。

数据配置文件权限

权限名称 说明
dlp.projectDataProfiles.list 列出项目数据配置文件。
dlp.projectDataProfiles.get 可读取项目数据分析文件对象。
dlp.tableDataProfiles.delete 删除单个表分析文件及其列分析文件。
dlp.tableDataProfiles.list 列出表数据分析文件。
dlp.tableDataProfiles.get 可读取表数据分析文件对象。
dlp.columnDataProfiles.list 列出列数据分析文件。
dlp.columnDataProfiles.get 读取列数据剖析文件对象。

估计权限

权限名称 说明
dlp.estimates.get 读取估算对象。
dlp.estimates.list 列出估算对象。
dlp.estimates.create 创建一个估算对象。
dlp.estimates.delete 删除估算对象。
dlp.estimates.cancel 取消持续进行的估算。

存储的 infoType 权限

权限名称 说明
dlp.storedInfoTypes.create 创建新的存储 infotype。
dlp.storedInfoTypes.delete 删除存储的 infotype。
dlp.storedInfoTypes.get 读取存储的 infotype。
dlp.storedInfoTypes.list 列出存储的 infotype。
dlp.storedInfoTypes.update 更新存储的 infotype。

订阅权限

权限名称 说明
dlp.subscriptions.get 创建新订阅。
dlp.subscriptions.list 列出订阅。
dlp.subscriptions.create 创建订阅。
dlp.subscriptions.cancel 取消订阅。
dlp.subscriptions.update 更新订阅。

其他权限

权限名称 说明
dlp.kms.encrypt 使用保留在 Cloud KMS 中的加密令牌对内容进行去标识化。