Diese Seite wurde von der Cloud Translation API übersetzt.

Kurzanleitung: Befehlszeilentool verwenden

Auf dieser Seite wird gezeigt, wie grundlegende Aufgaben in der Cloud Data Loss Prevention API mithilfe einer Befehlszeilenschnittstelle ausgeführt werden. Insbesondere umfasst diese Kurzanleitung das Senden eines kurzen Strings an die DLP API zur Prüfung.

Hinweis

Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

Aktivieren Sie die DLP API.

Aktivieren Sie die API

Erstellen Sie ein Dienstkonto:

Wechseln Sie in der Cloud Console zur Seite Dienstkonto erstellen.
Zur Seite „Dienstkonto erstellen“
Wählen Sie ein Projekt aus.
Geben Sie im Feld Dienstkontoname einen Namen ein. Die Cloud Console füllt das Feld Dienstkonto-ID basierend auf diesem Namen aus.

Geben Sie im Feld Dienstkontobeschreibung eine Beschreibung ein. Beispiel: Service account for quickstart.
Klicken Sie auf Erstellen und fortfahren.
Klicken Sie auf das Feld Rolle auswählen.

Klicken Sie unter Schnellzugriff auf Einfach und dann auf Inhaber.

Hinweis: Das Feld Rolle hat Einfluss darauf, auf welche Ressourcen in Ihrem Projekt das Dienstkonto zugreifen kann. Sie können diese Rollen später widerrufen oder zusätzliche Rollen erteilen. In Produktionsumgebungen sollten Sie die Inhaber-, Bearbeiter- und Betrachterrolle nicht zuweisen. Gewähren Sie stattdessen eine vordefinierte Rolle oder eine benutzerdefinierte Rolle, die Ihren Anforderungen entspricht.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig, um das Erstellen des Dienstkontos abzuschließen.

Schließen Sie das Browserfenster nicht. Sie verwenden es in der nächsten Aufgabe.

Dienstkontoschlüssel erstellen

Klicken Sie in der Cloud Console auf die E-Mail-Adresse des von Ihnen erstellten Dienstkontos.
Klicken Sie auf Schlüssel.
Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.
Klicken Sie auf Erstellen. Daraufhin wird eine JSON-Schlüsseldatei auf Ihren Computer heruntergeladen.
Klicken Sie auf Schließen.

Legen Sie für die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS den Pfad der JSON-Datei fest, die Ihren Dienstkontoschlüssel enthält. Diese Variable gilt nur für Ihre aktuelle Shellsitzung. Wenn Sie eine neue Sitzung öffnen, müssen Sie die Variable noch einmal festlegen.

Beispiel: Linux oder macOS

export GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Geben Sie für KEY_PATH den Dateipfad der JSON-Datei an, die Ihren Dienstkontoschlüssel enthält.

Beispiel:

export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"

Beispiel: Windows

Für PowerShell:

$env:GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Geben Sie für KEY_PATH den Dateipfad der JSON-Datei an, die Ihren Dienstkontoschlüssel enthält.

Beispiel:

$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"

Für Eingabeaufforderung:

set GOOGLE_APPLICATION_CREDENTIALS=KEY_PATH

Geben Sie für KEY_PATH den Dateipfad der JSON-Datei an, die Ihren Dienstkontoschlüssel enthält.

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Die Abrechnung für das Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

Aktivieren Sie die DLP API.

Aktivieren Sie die API

Erstellen Sie ein Dienstkonto:

Wechseln Sie in der Cloud Console zur Seite Dienstkonto erstellen.
Zur Seite „Dienstkonto erstellen“
Wählen Sie ein Projekt aus.
Geben Sie im Feld Dienstkontoname einen Namen ein. Die Cloud Console füllt das Feld Dienstkonto-ID basierend auf diesem Namen aus.

Geben Sie im Feld Dienstkontobeschreibung eine Beschreibung ein. Beispiel: Service account for quickstart.
Klicken Sie auf Erstellen und fortfahren.
Klicken Sie auf das Feld Rolle auswählen.

Klicken Sie unter Schnellzugriff auf Einfach und dann auf Inhaber.

Hinweis: Das Feld Rolle hat Einfluss darauf, auf welche Ressourcen in Ihrem Projekt das Dienstkonto zugreifen kann. Sie können diese Rollen später widerrufen oder zusätzliche Rollen erteilen. In Produktionsumgebungen sollten Sie die Inhaber-, Bearbeiter- und Betrachterrolle nicht zuweisen. Gewähren Sie stattdessen eine vordefinierte Rolle oder eine benutzerdefinierte Rolle, die Ihren Anforderungen entspricht.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig, um das Erstellen des Dienstkontos abzuschließen.

Schließen Sie das Browserfenster nicht. Sie verwenden es in der nächsten Aufgabe.

Dienstkontoschlüssel erstellen

Klicken Sie in der Cloud Console auf die E-Mail-Adresse des von Ihnen erstellten Dienstkontos.
Klicken Sie auf Schlüssel.
Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.
Klicken Sie auf Erstellen. Daraufhin wird eine JSON-Schlüsseldatei auf Ihren Computer heruntergeladen.
Klicken Sie auf Schließen.

Beispiel: Linux oder macOS

export GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Geben Sie für KEY_PATH den Dateipfad der JSON-Datei an, die Ihren Dienstkontoschlüssel enthält.

Beispiel:

export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"

Beispiel: Windows

Für PowerShell:

$env:GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Geben Sie für KEY_PATH den Dateipfad der JSON-Datei an, die Ihren Dienstkontoschlüssel enthält.

Beispiel:

$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"

Für Eingabeaufforderung:

set GOOGLE_APPLICATION_CREDENTIALS=KEY_PATH

Geben Sie für KEY_PATH den Dateipfad der JSON-Datei an, die Ihren Dienstkontoschlüssel enthält.

Berechtigungen

Die Prüfung von Inhalten erfordert die Berechtigung serviceusage.services.use für das Projekt, das in parent angegeben ist. Die Rollen roles/editor, roles/owner und roles.dlp.user enthalten die erforderliche Berechtigung. Sie können aber auch Ihre eigene benutzerdefinierte Rolle definieren.

So weisen Sie Ihrem Nutzer die Rolle dlp.user auf Projektebene zu:

Console

Öffnen Sie in der Google Cloud Console die Seite "IAM".
IAM aufrufen
Wenn noch kein Projekt ausgewählt wurde, klicken Sie auf die Projektauswahl und wählen Ihr Projekt aus.
Führen Sie auf der IAM-Seite die folgenden Schritte aus:
- Klicken Sie auf Hinzufügen, um einen neuen Nutzer hinzuzufügen.
- Wenn Sie einem vorhandenen Nutzer die Rolle dlp.user hinzufügen möchten, klicken Sie für diesen Nutzer auf Hauptkonto bearbeiten und anschließend auf Weitere Rolle hinzufügen im Bereich Berechtigungen bearbeiten.
Führen Sie im Bereich Hauptkonten hinzufügen folgende Schritte aus:
- Geben Sie die E-Mail-Adresse des Nutzers, den Sie hinzufügen, z. B. test@example.com, in das Feld Neue Hauptkonten ein.
- Für Rollen klicken Sie auf Rolle auswählen und wählen dann Cloud DLP > DLP-Nutzer aus.
Klicken Sie auf Add.

Weitere Informationen finden Sie unter IAM-Rolle zuweisen.

gcloud

Geben Sie den folgenden Befehl ein, um der IAM-Richtlinie des Projekts eine einzelne Bindung hinzuzufügen.
```
gcloud projects add-iam-policy-binding PROJECT_ID --member serviceAccount:SERVICE_ID --role roles/dlp.user
```
Dabei gilt:
- PROJECT_ID: die Projekt-ID.
- SERVICE_ID: das zu verwendende Dienstkonto.
Schreiben Sie in das Konsolenfenster die aktualisierte Richtlinie:
```
bindings:
- members:
  - group: EMAIL_ADDRESS
    role: roles/dlp.user
```
Ersetzen Sie EMAIL_ADDRESS durch die E-Mail-Adresse des Nutzers, den Sie hinzufügen.

Cloud DLP-Befehlszeilenanwendung einrichten

Node.js

Laden Sie Node.js und NPM herunter und installieren Sie beides.
Klonen Sie die Node.js-DLP-Clientbibliothek oder laden Sie sie als ZIP-Datei herunter und entpacken Sie die heruntergeladene Datei.
Öffnen Sie ein Befehlszeilentool und wechseln Sie zum Verzeichnis samples innerhalb des erweiterten Verzeichnisses.
Installieren Sie die Abhängigkeiten der Anwendung, führen Sie dazu im Verzeichnis samples den Befehl npm install aus.
Erstellen Sie, falls noch nicht geschehen, die Umgebungsvariable GCLOUD_PROJECT und legen Sie sie auf die Projekt-ID des Google Cloud-Projekts fest, das Sie für die Verwendung mit Cloud DLP eingerichtet haben.

Linux oder macOS

export GCLOUD_PROJECT="[PROJECT_ID]"

Windows

Mit PowerShell:

$env:GCLOUD_PROJECT="[PROJECT_ID]"

Mit Eingabeaufforderung:

set GCLOUD_PROJECT=[PROJECT_ID]

gcloud alpha dlp

Installieren und initialisieren Sie das Cloud SDK.

Für dieses Verfahren ist auch die Komponente gcloud-Alphabefehle erforderlich. Sie können sie jetzt installieren oder später installieren, wenn Sie dazu aufgefordert werden.
Aktivieren Sie das Dienstkonto:
```
gcloud auth activate-service-account SERVICE_ACCOUNT \\
 --key-file=PATH_TO_SERVICE_ACCOUNT_KEY
```
Dabei gilt:
- SERVICE_ACCOUNT: die ID Ihres Dienstkontos.
- PATH_TO_SERVICE_ACCOUNT_KEY ist der Pfad zur JSON-Datei, die den privaten Schlüssel Ihres Dienstkontos enthält. Dies ist die JSON-Datei, die Sie beim Einrichten der Authentifizierung im Abschnitt Vorbereitung heruntergeladen haben.

String auf vertrauliche Informationen überprüfen

In diesem Abschnitt erfahren Sie, wie Sie mit der DLP API Beispieltext scannen.

Node.js

In diesem Beispiel wird das Node.js-Skript inspectString verwendet. Öffnen Sie ein Befehlszeilentool, falls noch nicht geschehen. Rufen Sie den Ordner samples des Node.js-Beispiel-Repositorys auf, das Sie im vorherigen Abschnitt heruntergeladen und entpackt haben.

Führen Sie dazu diesen Befehl aus:

node inspectString.js PROJECT_ID "My email address is joe@example.com."

Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

Sie erhalten die folgende Ausgabe:

Findings:
  Quote: joe@example.com
  Info type: EMAIL_ADDRESS
  Likelihood: LIKELY

gcloud alpha dlp

In diesem Beispiel wird der Befehl gcloud alpha dlp text inspect verwendet. Öffnen Sie ein Befehlszeilentool, falls noch nicht geschehen.

Führen Sie dazu diesen Befehl aus:

gcloud alpha dlp text inspect --project="PROJECT_ID" \
--content="My email address is joe@example.com." \
--include-quote --info-types="EMAIL_ADDRESS"

Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

Wenn Sie die Komponente gcloud Alpha Commands noch nicht installiert haben, werden Sie vom System gefragt, ob Sie diese zuerst installieren möchten. Drücken Sie Y, um fortzufahren.

Sie erhalten die folgende Ausgabe:

result:
findings:
- createTime: '2021-02-26T19:31:28.051Z'
  findingId: 2021-02-26T19:31:28.054696Z5687834655654299045
  infoType:
    name: EMAIL_ADDRESS
  likelihood: LIKELY
  location:
    byteRange:
      end: '35'
      start: '20'
    codepointRange:
      end: '35'
      start: '20'
  quote: joe@example.com

Sie haben Ihre erste Anfrage an die DLP API gesendet.

Nächste Schritte

Lesen Sie Anleitungen durch, um mit der Prüfung von Text und Bildern zu beginnen und sensible Daten aus Text zu entfernen
Erfahren Sie mehr über Konzepte, um die Prüfung, das Entfernen von Daten, InfoTypes und die Wahrscheinlichkeit besser zu verstehen.
Sehen Sie sich die Service API-Referenz und die API-Referenz zur Node.js-Clientbibliothek an.