使用命令行检查敏感文本
本页面介绍如何使用命令行界面在 Cloud Data Loss Prevention API 执行基本任务。具体来说,本快速入门介绍了如何将短字符串发送到 DLP API 进行检查。
开始前须知
- 登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
-
在 Google Cloud Console 中的项目选择器页面上,选择或创建一个 Google Cloud 项目。
-
启用 DLP API。
-
创建服务帐号:
-
在 Google Cloud 控制台中,转到创建服务帐号页面。
转到“创建服务帐号” - 选择您的项目。
-
在服务帐号名称字段中,输入一个名称。Google Cloud 控制台会根据此名称填充服务帐号 ID 字段。
在服务帐号说明字段中,输入说明。例如,
Service account for quickstart。 - 点击创建并继续。
-
将 Project > Owner 角色授予服务帐号。
如需授予该角色,请找到选择角色列表,然后选择 Project > Owner。
- 点击继续。
-
点击完成以完成服务帐号的创建过程。
不要关闭浏览器窗口。您将在下一步骤中用到它。
-
-
创建服务帐号密钥:
- 在 Google Cloud 控制台中,点击您创建的服务帐号的电子邮件地址。
- 点击密钥。
- 点击添加密钥,然后点击创建新密钥。
- 点击创建。JSON 密钥文件将下载到您的计算机上。
- 点击关闭。
-
将环境变量
GOOGLE_APPLICATION_CREDENTIALS设置为包含凭据的 JSON 文件的路径。 此变量仅适用于当前的 shell 会话,因此,如果您打开新的会话,请重新设置该变量。 -
在 Google Cloud Console 中的项目选择器页面上,选择或创建一个 Google Cloud 项目。
-
启用 DLP API。
-
创建服务帐号:
-
在 Google Cloud 控制台中,转到创建服务帐号页面。
转到“创建服务帐号” - 选择您的项目。
-
在服务帐号名称字段中,输入一个名称。Google Cloud 控制台会根据此名称填充服务帐号 ID 字段。
在服务帐号说明字段中,输入说明。例如,
Service account for quickstart。 - 点击创建并继续。
-
将 Project > Owner 角色授予服务帐号。
如需授予该角色,请找到选择角色列表,然后选择 Project > Owner。
- 点击继续。
-
点击完成以完成服务帐号的创建过程。
不要关闭浏览器窗口。您将在下一步骤中用到它。
-
-
创建服务帐号密钥:
- 在 Google Cloud 控制台中,点击您创建的服务帐号的电子邮件地址。
- 点击密钥。
- 点击添加密钥,然后点击创建新密钥。
- 点击创建。JSON 密钥文件将下载到您的计算机上。
- 点击关闭。
-
将环境变量
GOOGLE_APPLICATION_CREDENTIALS设置为包含凭据的 JSON 文件的路径。 此变量仅适用于当前的 shell 会话,因此,如果您打开新的会话,请重新设置该变量。
权限
检查内容需要 parent 中指定的项目的 serviceusage.services.use 权限。roles/editor、roles/owner 和 roles.dlp.user 角色包含所需的权限,您也可以定义自己的自定义角色。
如需在项目级层为您的用户授予 dlp.user 角色,请执行以下操作:
控制台
在 Google Cloud Console 中打开 IAM 页面。
如果尚未选择项目,请点击项目选择器,然后选择您的项目。
在 IAM 页面上,请按照以下步骤操作:
- 要添加新用户,请点击 添加。
- 如需为现有用户添加
dlp.user角色,请点击该用户对应的 修改主帐号,然后点击修改权限窗格中的添加其他角色。
在添加主帐号窗格中,请按照以下步骤操作:
- 在新主帐号字段中,输入要添加的用户的电子邮件地址,例如
test@example.com。 - 对于角色,点击选择角色,然后选择 Cloud DLP &DLP 用户。
- 在新主帐号字段中,输入要添加的用户的电子邮件地址,例如
点击添加。
如需了解详情,请参阅授予 IAM 角色。
gcloud
要将单个绑定添加到项目的 IAM 政策,请输入以下命令:
gcloud projects add-iam-policy-binding PROJECT_ID --member serviceAccount:SERVICE_ID --role roles/dlp.user
替换以下内容:
PROJECT_ID:项目 ID。SERVICE_ID:要使用的服务帐号。
将更新后的政策写入控制台窗口:
bindings: - members: - group: EMAIL_ADDRESS role: roles/dlp.user将
EMAIL_ADDRESS替换为要添加的用户的电子邮件地址。
设置 Cloud DLP CLI 应用
Node.js
克隆或下载 Node.js DLP 客户端库的 zip 文件,然后展开所下载的文件。
打开命令行工具并导航到展开目录中的
samples目录。在
samples目录中运行npm install以安装应用依赖项。如果您尚未创建
GCLOUD_PROJECT环境变量,请创建该变量,并将其设置为与 Cloud DLP 搭配使用的 Google Cloud 项目的项目 ID:
gcloud alpha dlp
-
此过程还需要 gcloud Alpha 命令组件。您可以立即安装,也可以在系统提示后进行安装。
激活服务帐号:
gcloud auth activate-service-account SERVICE_ACCOUNT \\ --key-file=PATH_TO_SERVICE_ACCOUNT_KEY
替换以下内容:
SERVICE_ACCOUNT:您的服务帐号的 ID。PATH_TO_SERVICE_ACCOUNT_KEY:包含服务帐号私钥的 JSON 文件的路径。这是您在准备工作部分中设置身份验证时下载的 JSON 文件。
检查字符串中的敏感信息
本部分介绍了如何使用 DLP API 扫描示例文本。
Node.js
此示例使用 inspectString Node.js 脚本。如果您尚未打开命令行工具,请将其打开。导航到在上一部分中下载并展开的 Node.js 示例代码库的 samples 文件夹。
运行以下命令:
node inspectString.js PROJECT_ID "My email address is joe@example.com."
将 PROJECT_ID 替换为您的项目 ID。
您会收到以下输出结果:
Findings: Quote: joe@example.com Info type: EMAIL_ADDRESS Likelihood: LIKELY
gcloud alpha dlp
本示例使用 gcloud alpha dlp text inspect 命令。如果您尚未打开命令行工具,请将其打开。
运行以下命令:
gcloud alpha dlp text inspect --project="PROJECT_ID" \ --content="My email address is joe@example.com." \ --include-quote --info-types="EMAIL_ADDRESS"
将 PROJECT_ID 替换为您的项目 ID。
如果您尚未安装 gcloud Alpha Commands 组件,系统会询问是否要先安装它。如需继续,请按 Y。
您会收到以下输出结果:
result:
findings:
- createTime: '2021-02-26T19:31:28.051Z'
findingId: 2021-02-26T19:31:28.054696Z5687834655654299045
infoType:
name: EMAIL_ADDRESS
likelihood: LIKELY
location:
byteRange:
end: '35'
start: '20'
codepointRange:
end: '35'
start: '20'
quote: joe@example.com
您刚刚向 DLP API 发送了第一个请求。
后续步骤
- 浏览方法指南,开始检查文本和图片,并隐去文本中的敏感数据。
- 了解概念,从而更好地了解检查、隐去、infoType 和可能性。
- 请参阅 Service API 参考和 Node.js 客户端库 API 参考。