Como fazer a autenticação na API DLP

É necessário fazer a autenticação na API DLP para usá-la. A API DLP pode usar chaves de API ou autenticação. Veja abaixo a principal diferença entre os dois métodos:

  • As chaves de API identificam o projeto (o app ou o site) que está chamando a API.
  • Os tokens de autenticação identificam um usuário (a pessoa) que está usando o projeto.

Como usar chaves de API para acesso não autenticado

É possível usar uma chave de API do Console do Google Cloud para fazer a autenticação na API DLP para alguns métodos, incluindo todos os métodos projects.content.* e projects.image.*.

  1. Siga as instruções para criar uma chave de API para seu projeto do console do Google Cloud.
  2. Ao fazer qualquer solicitação da API DLP, transmita sua chave como o valor de um parâmetro key. Exemplo:
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

É importante proteger suas chaves de API contra uso não autorizado. Para receber orientações sobre como fazer isso, consulte Práticas recomendadas para usar as chaves de API com segurança.

Usar uma conta de serviço

Para usar uma conta de serviço para fazer a autenticação na API DLP:

  • siga as instruções para criar uma conta de serviço. Selecione JSON como o tipo de chave e conceda ao usuário o papel Usuário da DLP (roles/dlp.user).

Para mais informações sobre como conceder papéis a contas de serviço, consulte este artigo.

Depois dessa etapa, será feito o download da sua chave da conta de serviço para o local padrão do navegador.

Em seguida, decida se você disponibilizará a autenticação da conta de serviço como um token do portador ou por meio de credenciais padrão do aplicativo.

Tokens do portador usando uma conta de serviço

Ao chamar a API DLP diretamente, por exemplo, com uma solicitação HTTP com cURL, a autenticação será passada como um token do portador em um cabeçalho de solicitação de autorização HTTP. Para receber um token do portador usando sua conta de serviço, siga estas etapas:

  1. Instale a Google Cloud CLI.
  2. Autentique sua conta de serviço substituindo [KEY_FILE] abaixo pelo caminho para o arquivo de chave da conta de serviço:
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Receba um token de autorização com a conta de serviço:
    gcloud auth print-access-token
    O comando retorna um valor de token de acesso.
  4. Ao chamar a API, transmita o valor do token como um token bearer em um cabeçalho Authorization:
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Application Default Credentials

Se você estiver usando uma biblioteca de cliente para chamar a API DLP, use o Application Default Credentials (ADC).

Os serviços que utilizam o ADC procuram credenciais em uma variável de ambiente GOOGLE_APPLICATION_CREDENTIALS. A menos que você queira especificamente que o ADC use outras credenciais (por exemplo, credenciais de usuário), aponte essa variável de ambiente para o arquivo de chave da sua conta de serviço.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Como usar a proteção de dados confidenciais de VMs do Compute Engine

Para acessar a API DLP a partir de instâncias de VM, selecione Permitir acesso total a todas as APIs do Cloud na seção Identidade e acesso à API ao criar a VM.