快速入门:使用命令行工具

此页面介绍如何使用命令行界面在 Cloud Data Loss Prevention API 中执行基本任务。 具体而言,本快速入门介绍如何向 DLP API 发送短字符串进行检查。

准备工作

  1. 登录您的 Google Cloud 帐号。如果您是 Google Cloud 新手,请创建一个帐号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
  2. 在 Google Cloud Console 的项目选择器页面上,选择或创建一个 Google Cloud 项目。

    转到“项目选择器”

  3. 确保您的 Cloud 项目已启用结算功能。 了解如何确认您的项目是否已启用结算功能

  4. 启用 DLP API。

    启用 API

  5. 创建服务帐号:

    1. 在 Cloud Console 中,转到创建服务帐号页面。

      转到“创建服务帐号”
    2. 选择一个项目。
    3. 服务帐号名称字段中,输入一个名称。 Cloud Console 会根据此名称填充服务帐号 ID 字段。

      服务帐号说明字段中,输入说明。例如,Service account for quickstart

    4. 点击创建
    5. 点击选择角色字段。

      快速访问下,点击基本,然后点击所有者

    6. 点击继续
    7. 点击完成以完成服务帐号的创建过程。

      不要关闭浏览器窗口。您将在下一步骤中用到它。

  6. 创建服务帐号密钥:

    1. 在 Cloud Console 中,点击您创建的服务帐号的电子邮件地址。
    2. 点击密钥
    3. 依次点击添加密钥创建新密钥
    4. 点击创建。JSON 密钥文件将下载到您的计算机上。
    5. 点击关闭
  7. 将环境变量 GOOGLE_APPLICATION_CREDENTIALS 设置为包含您的服务帐号密钥的 JSON 文件的路径。 此变量仅适用于当前的 shell 会话,因此,如果您打开新的会话,请重新设置该变量。

权限

检查内容需要 parent 中所指定项目的 serviceusage.services.use 权限。roles/editorroles/ownerroles.dlp.user 角色包含所需的权限,您也可以自行定义自定义角色

如需向用户授予项目级层的 dlp.user 角色,请执行以下操作:

网页界面

  1. 在 Google Cloud Console 中打开 IAM 网页。

    打开 IAM 页面

  2. 如果尚未选择项目,请点击项目选择器,然后选择您的项目。

  3. 在 IAM 页面上:

    • 要添加新用户,请点击 添加
    • 要向现有用户添加 dlp.user 角色,请点击 修改成员,然后在修改权限窗格中点击添加其他角色

  4. 添加成员窗格中,执行以下操作:

    • 新成员字段中,输入要添加的用户的电子邮件地址,例如 test@example.com
    • 对于角色,请点击选择角色,然后选择 Cloud DLP > DLP 用户

  5. 点击添加

如需了解详情,请参阅授予 IAM 角色

命令行

  1. 如需将单个绑定添加到项目的 IAM 政策,请输入以下命令:

    gcloud projects add-iam-policy-binding PROJECT_ID --member serviceAccount:SERVICE_ID --role roles/dlp.user

    请替换以下内容:

    • PROJECT_ID项目 ID
    • SERVICE_ID:要使用的服务帐号。
  2. 将更新后的政策写入控制台窗口:

    bindings:
    - members:
      - group: EMAIL_ADDRESS
        role: roles/dlp.user
    

    EMAIL_ADDRESS 替换为您要添加的用户的电子邮件地址。

设置 Cloud DLP CLI 应用

Node.js

  1. 下载并安装 Node.js 和 NPM

  2. 克隆或下载 Node.js DLP 客户端库的 zip 文件,然后展开下载的文件。

  3. 打开命令行工具并导航到展开目录中的 samples 目录。

  4. samples 目录中运行 npm install,以安装应用依赖项。

  5. 如果尚未执行此操作,请创建 GCLOUD_PROJECT 环境变量并将其设置为与 Cloud DLP 一起使用的 Google Cloud 项目的项目 ID

gcloud alpha dlp

  1. 安装并初始化 Cloud SDK

    此过程还需要 gcloud Alpha 命令组件。您可以立即安装,也可以稍后在提示时安装。

  2. 激活服务帐号:

    gcloud auth activate-service-account SERVICE_ACCOUNT \\
     --key-file=PATH_TO_SERVICE_ACCOUNT_KEY

    请替换以下内容:

    • SERVICE_ACCOUNT:您的服务帐号的 ID。
    • PATH_TO_SERVICE_ACCOUNT_KEY:包含服务帐号私钥的 JSON 文件的路径。这是您在准备工作部分中设置身份验证时下载的 JSON 文件。

检查字符串是否存在敏感信息

本部分介绍如何使用 DLP API 扫描示例文本。

Node.js

此示例使用 inspectString Node.js 脚本。如果您尚未打开命令行工具,请先打开它。转到您在上一部分中下载和展开的 Node.js 示例代码库的 samples 文件夹。

运行以下命令:

node inspectString.js PROJECT_ID "My email address is joe@example.com."

请将 PROJECT_ID 替换为您的项目 ID

您收到以下输出结果:

Findings:
  Quote: joe@example.com
  Info type: EMAIL_ADDRESS
  Likelihood: LIKELY

gcloud alpha dlp

本示例使用 gcloud alpha dlp text inspect 命令。如果您尚未打开命令行工具,请先打开它。

运行以下命令:

gcloud alpha dlp text inspect --project="PROJECT_ID" \
--content="My email address is joe@example.com." \
--include-quote --info-types="EMAIL_ADDRESS"

请将 PROJECT_ID 替换为您的项目 ID

如果您尚未安装 gcloud Alpha Commands 组件,系统会询问您是否要先安装它。如需继续,请按 Y

您收到以下输出结果:

result:
findings:
- createTime: '2021-02-26T19:31:28.051Z'
  findingId: 2021-02-26T19:31:28.054696Z5687834655654299045
  infoType:
    name: EMAIL_ADDRESS
  likelihood: LIKELY
  location:
    byteRange:
      end: '35'
      start: '20'
    codepointRange:
      end: '35'
      start: '20'
  quote: joe@example.com

您已向 DLP API 发送了第一个请求。

后续步骤