Consent Management API 数据模型

本页面介绍 Consent Management API 中的信息是如何组织的，并说明了如何使用各种资源字段。

概览

Consent Management API 管理以下方面的与许可和隐私相关的数据：

配置信息。与许可存储区配置相关的许可存储区设置和数据，包括到期时间和政策基础组件（例如许可特性定义）。
许可记录。与您的用户授予的权限相关的数据，包括许可和任何关联的许可工件。
代管资源。与 Consent Management API 管理的资源相关的用户数据映射和数据。用户数据映射存储在 Consent Management API 中，而代管资源存储在 Consent Management API 之外。

Consent Management API 使用以下数据模型：

许可模型

许可数据存储在许可存储区中。您可以创建一个或多个独立配置和运行的许可存储区。许可存储区配置选项决定了您可以创建的其他 Consent Management API 资源以及这些资源的行为方式。

根据您的使用场景，您可能需要多个许可存储区。然后，您可以通过使用键值对标签配置许可存储区来组织它们。

您可以配置适用于存储区内创建的许可的默认到期时间。例如，您可以将存储区到期时间设为一年，则存储区中创建的新许可会在创建一年后到期。如果许可在创建时配置了自己的到期时间，则系统会使用该到期时间，而不是存储区的默认到期时间。如需详细了解许可存储区及其配置，请参阅创建和更新用户许可。

创建特性定义是配置许可存储区行为的另一种方式。特性定义资源指定许可存储区中允许的特性和特性值。许可存储区中的特性定义集合定义许可存储区可以处理的许可和隐私概念。

每个特性都会被分类为资源特性或请求特性。资源特性描述许可存储区管理的数据。资源特性用于创建用户数据映射、构建许可政策，以及将访问权限判定请求的范围限制为特定类型的数据。

请求特性描述可以如何使用许可存储区中的数据。请求特性是构建许可政策的授权规则所必需的，并且在请求进行访问权限判定时用于描述拟议用途。如需详细了解特性定义，请参阅使用特性配置许可政策。

您可以在 Consent Management API 中记录用户许可时创建许可资源和许可工件资源。许可资源记录许可有效的特定条件，并允许 Consent Management API 履行访问权限判定请求。许可工件资源记录用户批准许可的条件，并提供许可批准的相关文档。

许可资源包含一个或多个政策，这些政策使用许可存储区中配置的特性和特性值描述授予的许可。

许可资源特定于用户，并且每个许可资源都被指定了 userID。userID 是一个指明许可属于谁的标识符。相同的标识符会在创建用户数据映射时用到。

许可政策使用资源特性来描述许可适用的数据，并使用授权规则来定义该数据被允许用于哪些用途。授权规则使用请求特性和通用表达式语言 (CEL) 表示。您可以使用许可存储区的特性定义中定义的任何特性值来构建政策。

如需详细了解政策，请参阅政策执行。

许可资源可以是以下状态之一：

您还可以将许可的到期时间定义为绝对日期或时间段。没有到期时间的许可将继承存储区的默认到期时间。如果未配置许可存储区的默认到期时间，并且您未定义许可的到期时间，则许可将不会过期。

许可工件资源记录由许可资源描述的政策的支持文档。该文档可能包括以下内容：

许可资源创建后会与许可工件资源关联。您可以在许可工件资源中包含可用于识别用户的信息。要限制对这些信息的访问权限，您可以仅针对许可工件配置权限。如需详细了解许可权限，请参阅访问权限控制。

Consent Management API 管理存储在 Google Cloud、本地或其他云服务商等各种位置的资源的访问权限。代管资源的信息包含在用户数据映射中，这使 Consent Management API 能够在无需访问代管资源的情况下进行访问权限判定。

用户数据映射使用 dataID 字段来唯一标识代管资源。代管资源可以存储在可以用字符串描述的任何位置。

userID 字段是表示与代管资源关联的用户的标识符。此标识符与创建许可和许可工件资源时所用的标识符相同。

用户数据映射中包含的一组资源特性值描述该用户数据映射表示的资源。允许的资源特性值由许可存储区的特性定义定义。

如需详细了解如何创建和管理用户数据映射，请参阅注册用户数据。