S'authentifier sur l'API DLP

Vous devez vous authentifier sur l'API DLP pour pouvoir l'utiliser. L'API DLP peut à la fois gérer les clés API et l'authentification. Voici en quoi ces deux méthodes diffèrent principalement :

  • Les clés API identifient le projet appelant (l'application ou le site qui effectue l'appel d'API).
  • Les jetons d'authentification identifient un utilisateur (la personne qui consulte le projet).

Utiliser une clé API pour un accès non authentifié

Pour certaines méthodes, vous pouvez vous authentifier auprès de l'API DLP à l'aide d'une clé API de la console Google Cloud , y compris toutes les méthodes projects.content.* et projects.image.*.

  1. Suivez les instructions pour créer une clé API pour votre projet de la console Google Cloud .
  2. Lorsque vous envoyez une requête d'API DLP, transmettez votre clé comme valeur d'un paramètre key. Exemple :
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

Il est important de protéger vos clés API contre une utilisation non autorisée. Pour obtenir des conseils, consultez les bonnes pratiques pour utiliser des clés API en toute sécurité.

Utiliser un compte de service

Pour s'authentifier sur l'API DLP à l'aide d'un compte de service :

  • Suivez les instructions pour créer un compte de service. Sélectionnez le type de clé JSON, puis accordez à l'utilisateur le rôle Utilisateur DLP (roles/dlp.user).

Pour en savoir plus sur l'attribution d'un rôle à un compte de service, consultez la page Attribuer des rôles aux comptes de service.

Une fois cette étape terminée, votre clé de compte de service est téléchargée à l'emplacement par défaut de votre navigateur.

Décidez ensuite si vous souhaitez que l'authentification de votre compte de service passe par un jeton de support ou par les identifiants par défaut de l'application.

Obtenir des jetons de support à l'aide d'un compte de service

Si vous appelez directement l'API DLP (en effectuant par exemple une requête HTTP avec cURL), vous transmettez votre authentification en tant que jeton de support dans un en-tête de demande d'autorisation HTTP. Pour obtenir un jeton de support à l'aide de votre compte de service :

  1. Installez Google Cloud CLI.
  2. Authentifiez-vous sur votre compte de service en remplaçant la valeur [KEY_FILE] ci-dessous par le chemin d'accès au fichier de clé de votre compte de service :
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Procurez-vous un jeton d'autorisation à l'aide de votre compte de service :
    gcloud auth print-access-token
    La commande renvoie une valeur de jeton d'accès.
  4. Lorsque vous appelez l'API, transmettez la valeur du jeton en tant que jeton bearer dans un en-tête Authorization :
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Identifiants par défaut de l'application

Si vous appelez l'API DLP à l'aide d'une bibliothèque cliente, utilisez les identifiants par défaut de l'application (ADC).

Les services se servant des identifiants par défaut recherchent les identifiants dans une variable d'environnement GOOGLE_APPLICATION_CREDENTIALS. À moins que vous ne souhaitiez spécifiquement utiliser d'autres identifiants (tels que des identifiants utilisateur), définissez cette variable d'environnement de sorte qu'elle renvoie vers le fichier de clé de votre compte de service.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Utiliser la protection des données sensibles à partir de VM Compute Engine

Pour accéder à l'API DLP à partir d'instances de VM, sélectionnez Autoriser l'accès complet à l'ensemble des API Cloud dans la section Identité et accès à l'API lors de la création de la VM.