DLP API를 사용하려면 DLP API에 인증해야 합니다. DLP API는 API 키 및 인증을 모두 처리할 수 있습니다. 두 가지 방법의 주된 차이점은 다음과 같습니다.
- API 키는 호출하는 프로젝트, 즉 API를 호출하는 앱이나 사이트를 식별합니다.
- 인증 토큰은 사용자, 즉 프로젝트를 사용하고 있는 사람을 식별합니다.
인증되지 않은 액세스에 API 키 사용
Google Cloud Console API 키를 사용하여 모든 projects.content.* 및 projects.image.* 메서드를 포함한 일부 메서드에 대해 DLP API에 인증할 수 있습니다.
- Google Cloud Console 프로젝트의 API 키 만들기의 안내를 따릅니다.
- DLP API 요청을 수행할 때는 키를
key매개변수의 값으로 전달합니다. 예를 들면 다음과 같습니다.curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]
승인 없이 사용하지 못하도록 API 키를 보호하는 것이 중요합니다. 이를 위한 방법은 API 키를 안전하게 사용하기 위한 권장사항을 참조하세요.
서비스 계정 사용
서비스 계정을 사용하여 DLP API에 인증하는 방법은 다음과 같습니다.
- 서비스 계정 만들기의 안내에 따릅니다. 키 유형으로 JSON을 선택하고 사용자에게 DLP 사용지 역할(roles/dlp.user)을 부여합니다.
서비스 계정 역할 부여에 대한 자세한 내용은 서비스 계정에 역할 부여를 참조하세요.
작업을 완료하면 서비스 계정 키가 브라우저의 기본 위치로 다운로드됩니다.
다음으로, 서비스 계정 인증을 Bearer 토큰으로 제공할지 아니면 애플리케이션 기본 사용자 인증 정보를 사용할지 결정합니다.
서비스 계정을 사용한 Bearer 토큰
예를 들어 cURL로 HTTP를 요청하는 것과 같이 DLP API를 직접 호출하는 경우 HTTP 승인 요청 헤더에 Bearer 토큰으로 인증을 전달합니다. 서비스 계정을 사용하여 Bearer 토큰을 가져오려면 다음 안내를 따르세요.
- Google Cloud CLI를 설치합니다.
- 서비스 계정에 인증합니다. 아래의 [KEY_FILE]을 서비스 계정 키 파일의 경로로 바꿉니다.
gcloud auth activate-service-account --key-file [KEY_FILE]
- 서비스 계정을 사용하여 승인 토큰을 가져옵니다.
gcloud auth print-access-token
명령에서 액세스 토큰 값을 반환합니다. - API를 호출할 때
Authorization헤더에 토큰 값을bearer토큰으로 전달합니다.curl -s -H 'Content-Type: application/json' \ -H 'Authorization: Bearer [ACCESS_TOKEN]' \ 'https://dlp.googleapis.com/v2/infoTypes'
애플리케이션 기본 사용자 인증 정보
클라이언트 라이브러리를 사용하여 DLP API를 호출하는 경우 애플리케이션 기본 사용자 인증 정보(ADC)를 사용합니다.
ADC를 사용하는 서비스는 GOOGLE_APPLICATION_CREDENTIALS 환경 변수에서 사용자 인증 정보를 찾습니다. ADC에서 다른 사용자 인증 정보(예: 특정 사용자의 인증 정보)를 사용해야 하는 경우가 아니라면, 이 환경 변수가 서비스 계정 키 파일을 가리키도록 설정하세요.
export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]
Compute Engine VM에서 민감한 정보 보호 사용
VM 인스턴스에서 DLP API에 액세스하려면 VM을 만들 때 ID 및 API 액세스 섹션에서 모든 Cloud API에 대한 전체 액세스 허용을 선택합니다.