Bei der DLP-API authentifizieren

Sie müssen sich bei der DLP API authentifizieren, um sie verwenden zu können. Die DLP API kann sowohl API-Schlüssel als auch Authentifizierungstokens verarbeiten. Diese beiden Methoden unterscheiden sich im Wesentlichen folgendermaßen:

  • API-Schlüssel identifizieren das aufrufende Projekt, also die Anwendung oder die Website, die den Aufruf an eine API ausführt.
  • Authentifizierungstokens identifizieren einen Nutzer, also die Person, die das Projekt verwendet.

API-Schlüssel für nicht authentifizierten Zugriff verwenden

Sie können einen Google Cloud Console API-Schlüssel für die Authentifizierung bei der DLP API für einige Methoden verwenden, einschließlich aller Methoden projects.content.* und projects.image.*.

  1. Folgen Sie der Anleitung API-Schlüssel für ein Google Cloud Console-Projekt erstellen.
  2. Wenn Sie eine DLP API-Anfrage senden, übergeben Sie Ihren Schlüssel als Wert eines key-Parameters. Beispiel:
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

Es ist wichtig, Ihre API-Schlüssel vor unbefugter Verwendung zu schützen. Informationen dazu finden Sie in den Best Practices für die sichere Verwendung von API-Schlüsseln.

Dienstkonto verwenden

So verwenden Sie ein Dienstkonto zur Authentifizierung bei der DLP API:

  • Folgen Sie der Anleitung, um ein Dienstkonto zu erstellen. Wählen Sie JSON als Schlüsseltyp aus und weisen Sie dem Nutzer die Rolle DLP-Nutzer (roles/dlp.user) zu.

Weitere Informationen zum Zuweisen von Rollen zu Dienstkonten finden Sie unter Dienstkonten Rollen zuweisen.

Sobald Sie fertig sind, wird Ihr Dienstkontoschlüssel heruntergeladen und im Standardspeicherort Ihres Browsers gespeichert.

Entscheiden Sie anschließend, ob Sie Ihre Dienstkontoauthentifizierung als Inhabertoken bereitstellen oder die Standardanmeldedaten für Anwendungen nutzen möchten.

Inhabertokens, die ein Dienstkonto verwenden

Wenn Sie die DLP API direkt aufrufen, z. B. durch Erstellen einer HTTP-Anfrage mit cURL, übergeben Sie Ihre Authentifizierung als Inhabertoken in einem Header der HTTP-Autorisierungsanfrage. So rufen Sie ein Inhabertoken über Ihr Dienstkonto ab:

  1. Installieren Sie die Google Cloud CLI.
  2. Authentifizieren Sie sich bei Ihrem Dienstkonto und ersetzen Sie [KEY_FILE] unten durch den Pfad zu Ihrer Dienstkonto-Schlüsseldatei
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Rufen Sie über Ihr Dienstkonto ein Autorisierungstoken ab:
    gcloud auth print-access-token
    Der Befehl gibt einen Zugriffstokenwert zurück.
  4. Beim Aufrufen der API übergeben Sie den Tokenwert als bearer-Token in einem Authorization-Header:
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Standardanmeldedaten für Anwendungen

Wenn Sie eine Clientbibliothek zum Aufrufen der DLP API verwenden, nutzen Sie die Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC).

Dienste, die Standardanmeldedaten verwenden, erwarten diese innerhalb der Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS. Sofern Sie nicht ausdrücklich andere Anmeldedaten, wie zum Beispiel Nutzeranmeldedaten, als Standardanmeldedaten für Anwendungen verwenden möchten, sollte diese Umgebungsvariable auf Ihre Dienstkonto-Schlüsseldatei verweisen.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Schutz sensibler Daten über Compute Engine-VMs verwenden

Um über VM-Instanzen auf die DLP API zuzugreifen, wählen Sie beim Erstellen der VM im Abschnitt Identität und API-Zugriff die Option Uneingeschränkten Zugriff auf alle Cloud APIs zulassen aus.