此页面介绍如何使用命令行界面在 Cloud Data Loss Prevention API 中执行基本任务。 具体而言,本快速入门介绍如何向 DLP API 发送短字符串进行检查。
准备工作
-
登录您的 Google 帐号。
如果您还没有 Google 帐号,请注册一个新帐号。
-
在 Google Cloud Console 的项目选择器页面上,选择或创建一个 Google Cloud 项目。
-
确保您的 Cloud 项目已启用结算功能。 了解如何确认您的项目是否已启用结算功能。
- 启用 DLP API。
- 设置身份验证:
-
在 Cloud Console 中,转到创建服务帐号密钥页面。
转到“创建服务帐号密钥”页面 - 从服务帐号列表中,选择新的服务帐号。
- 在服务帐号名称字段中,输入一个名称。
从角色列表中,选择 Project > Owner。
- 点击创建。包含密钥的 JSON 文件就会下载到计算机。
-
-
将环境变量
GOOGLE_APPLICATION_CREDENTIALS
设置为包含您的服务帐号密钥的 JSON 文件的路径。 此变量仅适用于当前的 shell 会话,因此,如果您打开新的会话,请重新设置该变量。 - 下载并安装 Node.js 和 NPM。
权限
检查内容需要 parent
中所指定项目的 serviceusage.services.use
权限。roles/editor
、roles/owner
和 roles.dlp.user
角色包含所需的权限,您也可以自行定义自定义角色。
如需向用户授予项目级层的 dlp.user
角色,请执行以下操作:
网页界面
在 Google Cloud Console 中打开 IAM 网页。
如果尚未选择项目,请点击项目选择器中的选择项目。
选择您的项目,然后点击打开。
在 IAM 页面上:
- 要添加新用户,请点击 添加。
- 要向现有用户添加
dlp.user
角色,请点击 修改成员,然后在修改权限窗格中点击添加其他角色。
在添加成员窗格中,执行以下操作:
- 在新成员字段中,输入要添加的用户的电子邮件地址,例如
test@example.com
。 - 对于角色,请点击选择角色,然后选择 Cloud DLP > DLP 用户。
- 在新成员字段中,输入要添加的用户的电子邮件地址,例如
点击添加。
如需了解详情,请参阅授予 IAM 角色。
命令行
要将单个绑定添加到项目的 IAM 政策,请输入以下命令。将 PROJECT-ID 替换为您的项目 ID,将 SERVICE-ID 替换为要使用的服务帐号。
gcloud projects add-iam-policy-binding PROJECT-ID --member serviceAccount:SERVICE-ID --role roles/dlp.user
以下命令会将更新后的政策写入控制台窗口。将电子邮件地址替换为您要添加的用户的电子邮件地址。
bindings: - members: - group: test@example.com role: roles/dlp.user
设置 Cloud DLP CLI 应用
克隆或下载 Node.js DLP 客户端库的 ZIP 文件,然后展开下载的文件。
打开命令行工具并导航到展开目录中的
samples
目录。在
samples
目录中运行npm install
,以安装应用依赖项。如果尚未执行此操作,请创建
GCLOUD_PROJECT
环境变量并将其设置为与 Cloud DLP 一起使用的 Google Cloud 项目的项目 ID:
检查字符串是否存在敏感信息
本部分介绍如何使用 inspectString
示例 Node.js 脚本请求服务扫描示例文本。如果您尚未打开命令行工具,请打开命令行工具,然后导航到您在上一部分中下载和展开的 Node.js 示例代码库的 samples
文件夹。
运行以下命令,将 PROJECT-ID 替换为您的项目 ID:
node inspectString.js PROJECT-ID "My email address is joe@example.com."
您收到以下输出结果:
Findings: Quote: joe@example.com Info type: EMAIL_ADDRESS Likelihood: LIKELY
您已向 DLP API 发送了第一个请求。
后续步骤
- 阅读操作指南,以开始检查文本和图片,并对文本中的敏感数据进行遮盖。
- 阅读概念,以更好地理解检查、遮盖、Infotype 和可能性。
- 查看 Service API 参考和 Node.js 客户端库 API 参考。