Autenticación de la API de DLP

Debes autenticarte en la API de DLP para usarla. La API de DLP puede controlar claves de API y autenticación. Estos dos métodos se diferencian en lo siguiente:

  • Las claves de API identifican el proyecto (la app o el sitio) que realiza la llamada a una API.
  • Los tokens de autenticación identifican a un usuario (la persona) que usa el proyecto.

Usa una clave de API para acceso no autenticado

Puedes usar una clave de API de la consola de Google Cloud a fin de autenticarte en la API de DLP para algunos métodos, incluidos todos los métodos projects.content.* y projects.image.*.

  1. Sigue las instrucciones a fin de crear una clave de API para tu proyecto de la consola de Google Cloud.
  2. Cuando realices una solicitud a la API de DLP, pasa tu clave como el valor de un parámetro key. Por ejemplo:
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

Es importante proteger tus claves de API contra el uso no autorizado. Si deseas obtener consejos sobre cómo hacerlo, consulta Recomendaciones para usar claves de API de forma segura.

Usa una cuenta de servicio

Para usar una cuenta de servicio para autenticar en la API de DLP, haz lo siguiente:

  • Sigue las instrucciones para crear una cuenta de servicio. Selecciona JSON como el tipo de clave y otorga al usuario la función Usuario de DLP (roles/dlp.user).

Para obtener más información sobre la concesión de funciones a las cuentas de servicio, consulta Otorga funciones a las cuentas de servicio.

Una vez completada, la clave de tu cuenta de servicio se descarga en la ubicación predeterminada de tu navegador.

A continuación, decide si proporcionarás la autenticación de tu cuenta de servicio como un token del portador o mediante las credenciales predeterminadas de la aplicación.

Tokens del portador que usan una cuenta de servicio

Si llamas de forma directa a la API de DLP, por ejemplo, cuando realizas una solicitud HTTP con cURL, pasarás la autenticación como un token del portador en un encabezado de solicitud de autorización HTTP. Para obtener un token del portador con tu cuenta de servicio, haz lo siguiente:

  1. Instala Google Cloud CLI.
  2. Reemplaza [KEY_FILE] a continuación por la ruta de acceso a tu archivo de claves de cuenta de servicio para autenticarte:
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Obtén un token de autorización con tu cuenta de servicio:
    gcloud auth print-access-token
    El comando muestra un valor de token de acceso.
  4. Cuando llames a la API, pasa el valor del token como un token bearer en un encabezado Authorization:
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Credencial predeterminada de la aplicación

Si usas una biblioteca cliente para llamar a la API de DLP, usa las Credenciales predeterminadas de la aplicación (ADC).

Los servicios que usan ADC buscan credenciales en una variable de entorno GOOGLE_APPLICATION_CREDENTIALS. A menos que desees que ADC use otras credenciales (por ejemplo, credenciales de usuario), configura esta variable de entorno para que apunte a tu archivo de claves de cuenta de servicio.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Usa la protección de datos sensibles desde las VMs de Compute Engine

Para acceder a la API de DLP desde instancias de VM, selecciona Permitir acceso completo a todas las APIs de Cloud en la sección Identidad y acceso a la API cuando crees la VM.