このページでは、API を直接コールすることにより Cloud Data Loss Prevention API の基本的なタスクを実行する方法を説明します。
始める前に
- Google Cloud アカウントにログインします。Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
-
Cloud プロジェクトに対して課金が有効になっていることを確認します。プロジェクトに対して課金が有効になっていることを確認する方法を学習する。
- DLP API を有効にします。
-
サービス アカウントを作成します。
-
Cloud Console で [サービス アカウントの作成] ページに移動します。
[サービス アカウントの作成] に移動 - プロジェクトを選択します。
-
[サービス アカウント名] フィールドに名前を入力します。Cloud Console は、この名前に基づいて [サービス アカウント ID] フィールドに入力します。
[サービス アカウントの説明] フィールドに説明を入力します。例:
Service account for quickstart - [作成] をクリックします。
-
[ロールを選択] フィールドをクリックします。
[クイック アクセス] で [基本]、[オーナー] の順にクリックします。
- [続行] をクリックします。
-
[完了] をクリックして、サービス アカウントの作成を完了します。
ブラウザ ウィンドウは閉じないでください。次のステップでこれを使用します。
-
-
サービス アカウント キーを作成します。
- Cloud Console で、作成したサービス アカウントのメールアドレスをクリックします。
- [キー] をクリックします。
- [鍵を追加]、[新しい鍵を作成] の順にクリックします。
- [作成] をクリックします。JSON キーファイルがパソコンにダウンロードされます。
- [閉じる] をクリックします。
-
環境変数
GOOGLE_APPLICATION_CREDENTIALSを、サービス アカウント キーが含まれる JSON ファイルのパスに設定します。 この変数は現在のシェル セッションにのみ適用されるため、新しいセッションを開く場合は、変数を再度設定します。 - Cloud SDK をインストールして初期化します。
権限
コンテンツを検査するには、parent で指定されたプロジェクトに対する serviceusage.services.use 権限が必要です。roles/editor、roles/owner、roles.dlp.user のロールには必要な権限が含まれていますが、独自のカスタムロールを定義することもできます。
プロジェクト レベルで dlp.admin ロールをユーザーに付与するには、以下のいずれかのタブを選択して、その手順を実施します。
ウェブ UI
Google Cloud Console で Identity and Access Management のページを開きます。
プロジェクトがまだ選択されていない場合は、プロジェクト セレクタをクリックして、プロジェクトを選択します。
[IAM] ページで、[追加] をクリックします。
[メンバーの追加] ダイアログで、次の操作を行います。
- [メンバー] に、ユーザーのメールアドレスとして「
test@example.com」と入力します。 - [ロール] については、[ロールを選択] をクリックし、[Cloud DLP] > [DLP ユーザー] の順に選択します。
- [メンバー] に、ユーザーのメールアドレスとして「
[追加] をクリックします。
コマンドライン
プロジェクトの Cloud IAM ポリシーに単一のバインディングを追加するには、
[PROJECT_ID]をプロジェクト ID に置き換えて、次のコマンドを入力します。gcloud projects add-iam-policy-binding [PROJECT_ID] --member user:test@example.com --role roles/dlp.user
このコマンドは、更新されたポリシーをコンソール ウィンドウに書き込みます。
bindings: - members: - user:test@example.com role: roles/dlp.user
文字列に含まれる機密情報を検査する
このセクションでは、projects.content.inspect REST メソッドを使用してサンプル テキストをスキャンするようサービスに要求する方法を説明します。
次のテキストを含む JSON リクエスト ファイルを作成し、
inspect-request.jsonとして保存します。{ "item":{ "value":"My phone number is (206) 555-0123." }, "inspectConfig":{ "infoTypes":[ { "name":"PHONE_NUMBER" }, { "name":"US_TOLLFREE_PHONE_NUMBER" } ], "minLikelihood":"POSSIBLE", "limits":{ "maxFindingsPerItem":0 }, "includeQuote":true } }この JSON リクエストでは、
itemフィールドにはContentItemオブジェクトが含まれ、inspectConfigフィールドにはInspectConfigオブジェクトが含まれます。クイックスタートを完了後、itemに独自の文字列を追加したり、inspectConfigフィールドの一部を変更したりして、その影響を確認してください。サービス アカウントを有効にします。
gcloud auth activate-service-account SERVICE_ACCOUNT \ --key-file=PATH_TO_SERVICE_ACCOUNT_KEY \ --project=PROJECT_ID
以下を置き換えます。
SERVICE_ACCOUNT: サービス アカウントの ID。PATH_TO_SERVICE_ACCOUNT_KEY: サービス アカウントの秘密鍵を含む JSON ファイルへのパス。これは、始める前にセクションで認証を設定したときにダウンロードした JSON ファイルです。PROJECT_ID: Cloud DLP を使用するように設定したプロジェクト。
承認トークンを取得します。
gcloud auth print-access-token
curlを使用してcontent:inspectリクエストを作成し、出力したアクセス トークンと、ステップ 1 で設定した JSON リクエストのファイル名を渡します。curl -s \ -H "Authorization: Bearer [ACCESS_TOKEN]" \ -H "Content-Type: application/json" \ https://dlp.googleapis.com/v2/projects/[PROJECT_ID]/content:inspect \ -d @inspect-request.json
curlにファイル名を渡すには、-dオプション(「データ」の意味)を使用して、ファイル名の前に@記号を付けます。このファイルは、curlコマンドを実行するディレクトリと同じディレクトリに存在する必要があります。
Cloud DLP は、リクエストに対して次の JSON を返します。
{
"result":{
"findings":[
{
"quote":"(206) 555-0123",
"infoType":{
"name":"PHONE_NUMBER"
},
"likelihood":"LIKELY",
"location":{
"byteRange":{
"start":"19",
"end":"33"
},
"codepointRange":{
"start":"19",
"end":"33"
}
},
"createTime":"2018-11-30T01:01:30.883Z"
}
]
}
}
これで、Cloud DLP への最初のリクエストを送信できました。
次のステップ
- 入門ガイドを読んで、テキストと画像の検査、テキスト内の機密データの秘匿化を始めます。
- 概念を読んで、検査、秘匿化、infoType、可能性についての理解を深めます。
- API リファレンスを参照する。