IAM 권한
일반 권한
일부 메서드에는 민감한 정보 보호 전용 권한이 없습니다. 메서드는 청구 가능 이벤트를 유발할 수 있으므로 대신 일반 권한을 사용하지만 보호되는 클라우드 리소스에는 액세스하지 않습니다.
projects.contentparent에 지정된 프로젝트에 대한 serviceusage.services.use 권한이 필요합니다. 필요한 권한이 포함되어 있는 roles/editor, roles/owner, roles/dlp.user 역할을 부여하거나 이 권한을 포함하는 자체 커스텀 역할 을 정의할 수 있습니다.
이 권한은 사용자가 지정하는 프로젝트의 결제 승인을 받았는지 확인합니다.
서비스 계정
Sensitive Data Protection은 Google Cloud 리소스에 액세스하고 Sensitive Data Protection 호출을 실행하기 위해 Cloud Data Loss Prevention 서비스 에이전트의 사용자 인증 정보를 사용하여 다른 API에 인증합니다. 서비스 에이전트는 사용자를 대신하여 내부 Google 프로세스를 실행하는 특수한 유형의 서비스 계정입니다. 다음 이메일을 사용하여 서비스 에이전트를 식별할 수 있습니다.
service-PROJECT_NUMBER @dlp-api.iam.gserviceaccount.com
Cloud Data Loss Prevention 서비스 에이전트는 처음 필요할 때 생성됩니다. 다음과 같이 InspectContent
curl --request POST \
"https://dlp.googleapis.com/v2/projects/PROJECT_ID /locations/us-central1/content:inspect" \
--header "X-Goog-User-Project: PROJECT_ID " \
--header "Authorization: Bearer $( gcloud auth print-access-token) " \
--header 'Accept: application/json' \
--header 'Content-Type: application/json' \
--data '{"item":{"value":"google@google.com"}}' \
--compressed PROJECT_ID 프로젝트 ID 로 바꿉니다.
Cloud Data Loss Prevention 서비스 에이전트에게는 리소스 검사에 필요한 프로젝트에 대한 일반 권한이 자동으로 부여되며, 해당 서비스 에이전트는 Google Cloud Console의 IAM 섹션에 나열됩니다. 서비스 에이전트는 프로젝트와 함께 무기한 존재하며, 프로젝트가 삭제될 때만 삭제됩니다.
민감한 정보 보호는 이 서비스 에이전트를 사용하므로 이 에이전트를 삭제해서는 안 됩니다.
참고: 민감한 정보 보호를 사용하여 중요한 리소스(예: 추가적인 커스텀 Identity and Access Management 역할로 보호되는 리소스)를 스캔하는 경우 해당되는 추가적인 IAM 역할을 Cloud Data Loss Prevention 서비스 에이전트에 할당해야 합니다. 예를 들어 민감한 정보 보호를 사용하여 Google Cloud 에서 일부 사용자 집합으로 제한된 파일을 검사하려면 Cloud Data Loss Prevention 서비스 에이전트에 적절한 역할을 부여해야 합니다. 경고: Cloud Data Loss Prevention 서비스 에이전트를 삭제하거나 역할을 취소하면 모든 작업 및 작업 트리거 가 실패합니다. 데이터 프로파일링 작업에서 서비스 계정이 사용되는 방식에 관한 자세한 내용은 서비스 에이전트 컨테이너 및 서비스 에이전트 를 참고하세요.
작업 권한
권한 이름
설명
dlp.jobs.create새 작업을 만듭니다.
dlp.jobs.cancel작업을 취소합니다.
dlp.jobs.delete작업을 삭제합니다.
dlp.jobs.get작업 객체를 읽습니다.
dlp.jobs.list작업을 나열합니다.
dlp.jobs.hybridInspect하이브리드 작업에서 하이브리드 검사 호출을 수행합니다.
작업 트리거 권한
권한 이름
설명
dlp.jobTriggers.create새 작업 트리거를 만듭니다.
dlp.jobTriggers.delete작업 트리거를 삭제합니다.
dlp.jobTriggers.get작업 트리거 객체를 읽습니다.
dlp.jobTriggers.list작업 트리거를 나열합니다.
dlp.jobTriggers.update작업 트리거를 업데이트합니다.
dlp.jobTriggers.hybridInspect하이브리드 트리거에서 하이브리드 검사 호출을 수행합니다.
검사 템플릿 권한
권한 이름
설명
dlp.inspectTemplates.create새 검사 템플릿을 만듭니다.
dlp.inspectTemplates.delete검사 템플릿을 삭제합니다.
dlp.inspectTemplates.get검사 템플릿 객체를 읽습니다.
dlp.inspectTemplates.list검사 템플릿을 나열합니다.
dlp.inspectTemplates.update검사 템플릿을 업데이트합니다.
익명화 템플릿 권한
권한 이름
설명
dlp.deidentifyTemplates.create새 익명화 템플릿을 만듭니다.
dlp.deidentifyTemplates.delete익명화 템플릿을 삭제합니다.
dlp.deidentifyTemplates.get익명화 템플릿 객체를 읽습니다.
dlp.deidentifyTemplates.list익명화 템플릿을 나열합니다.
dlp.deidentifyTemplates.update익명화 템플릿을 업데이트합니다.
데이터 프로필 권한
권한 이름
설명
dlp.projectDataProfiles.list프로젝트 데이터 프로필을 나열합니다.
dlp.projectDataProfiles.get프로젝트 데이터 프로필 객체를 읽습니다.
dlp.tableDataProfiles.delete단일 테이블 프로필과 해당 열 프로필을 삭제합니다.
dlp.tableDataProfiles.list테이블 데이터 프로필을 나열합니다.
dlp.tableDataProfiles.get테이블 데이터 프로필 객체를 읽습니다.
dlp.columnDataProfiles.list열 데이터 프로필을 나열합니다.
dlp.columnDataProfiles.get열 데이터 프로필 객체를 읽습니다.
dlp.fileStoreProfiles.delete단일 파일 저장소 프로필을 삭제합니다.
dlp.fileStoreProfiles.list파일 스토어 데이터 프로필을 나열합니다.
dlp.fileStoreProfiles.get파일 스토어 데이터 프로필 객체를 읽습니다.
예상 권한
권한 이름
설명
dlp.estimates.get예상 객체를 읽습니다.
dlp.estimates.list예상 객체를 나열합니다.
dlp.estimates.create예상 객체를 만듭니다.
dlp.estimates.delete예상 객체를 삭제합니다.
dlp.estimates.cancel진행 중인 예상을 취소합니다.
저장된 infoType 권한
권한 이름
설명
dlp.storedInfoTypes.create새 저장된 infoType을 만듭니다.
dlp.storedInfoTypes.delete저장된 infoType을 삭제합니다.
dlp.storedInfoTypes.get저장된 infoType을 읽습니다.
dlp.storedInfoTypes.list저장된 infoType을 나열합니다.
dlp.storedInfoTypes.update저장된 infoType을 업데이트합니다.
구독 권한
권한 이름
설명
dlp.subscriptions.get새 구독 만들기
dlp.subscriptions.list구독 나열
dlp.subscriptions.create구독 만들기
dlp.subscriptions.cancel구독 취소
dlp.subscriptions.update구독 업데이트
차트 권한
권한 이름
설명
dlp.charts.get데이터 프로필 대시보드의 차트 데이터를 가져옵니다.
기타 권한
권한 이름
설명
dlp.kms.encryptCloud KMS에 유지되는 암호화 토큰을 사용하여 콘텐츠를 익명화합니다.
