Cloud DLP 身分與存取權管理權限

身分與存取權管理權限

一般權限

某些方法沒有 Cloud DLP 專用權限,會改用一般權限,因為這些方法會導致計費事件,但不會存取任何受保護的雲端資源。

針對 parent 中指定的專案,觸發計費事件的所有動作 (例如 projects.content 方法) 都需要 serviceusage.services.use 權限。roles/editorroles/ownerroles/dlp.user 角色包含必要的權限,或者您也可以定義自己的自訂角色來包含這項權限。

這項權限可確保您有權向您指定的專案收費。

服務帳戶

啟用 Cloud DLP 時,系統會將服務帳戶新增至專案中。

為了存取 Google Cloud Platform 資源並透過 JobTrigger 對 Cloud DLP 執行呼叫,Cloud DLP 會使用 Google API 服務帳戶的憑證向其他 API 進行驗證。Google API 服務帳戶專門用於代表您執行內部 Google 處理程序。服務帳戶可以使用電子郵件識別:

service-[PROJECT_NUMBER]@dlp-api.iam.gserviceaccount.com

針對檢查資源所需的專案,系統會自動將一般權限授予這個 Google API 服務帳戶,並且會在 Google Cloud Platform 主控台的「IAM」區段中列出。這個服務帳戶會與專案一起無限期存在,只有刪除專案時才會隨之刪除。由於 Cloud DLP 需要使用這個服務帳戶,因此不建議移除這個帳戶。

工作權限

權限名稱 說明
dlp.jobs.create 建立新工作。
dlp.jobs.cancel 取消工作。
dlp.jobs.delete 刪除工作。
dlp.jobs.get 讀取工作物件。
dlp.jobs.list 列出工作。

工作觸發權限

權限名稱 說明
dlp.jobTriggers.create 建立新的工作觸發條件。
dlp.jobTriggers.cancel 取消工作觸發條件。
dlp.jobTriggers.delete 刪除工作觸發條件。
dlp.jobTriggers.get 讀取工作觸發條件物件。
dlp.jobTriggers.list 列出工作觸發條件。

檢查範本權限

權限名稱 說明
dlp.inspectTemplates.create 建立新的檢查範本。
dlp.inspectTemplates.delete 刪除檢查範本。
dlp.inspectTemplates.get 讀取範本物件。
dlp.inspectTemplates.list 列出檢查範本。
dlp.inspectTemplates.update 更新檢查範本。

去識別化範本權限

權限名稱 說明
dlp.deidentifyTemplates.create 建立新的去識別化範本。
dlp.deidentifyTemplates.delete 刪除去識別化範本。
dlp.deidentifyTemplates.get 讀取範本物件。
dlp.deidentifyTemplates.list 列出去識別化範本。
dlp.deidentifyTemplates.update 更新去識別化範本。

儲存的 infoType 權限

權限名稱 說明
dlp.storedInfoTypes.create 建立新儲存的 Infotype。
dlp.storedInfoTypes.delete 刪除儲存的 Infotype。
dlp.storedInfoTypes.get 讀取儲存的 Infotype。
dlp.storedInfoTypes.list 列出儲存的 Infotype。
dlp.storedInfoTypes.update 更新儲存的 Infotype。

其他權限

權限名稱 說明
dlp.kms.encrypt 使用 Cloud KMS 中持續保留的加密代碼來將內容去識別化。
本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
資料遺失防護說明文件