민감한 정보 보호 IAM 권한

IAM 권한

일반 권한

일부 메서드에는 민감한 정보 보호 전용 권한이 없습니다. 메서드는 청구 가능 이벤트를 유발할 수 있으므로 대신 일반 권한을 사용하지만 보호되는 클라우드 리소스에는 액세스하지 않습니다.

projects.content 메서드와 같이 청구 가능한 이벤트를 트리거하는 모든 작업에는 parent에 지정된 프로젝트에 대한 serviceusage.services.use 권한이 필요합니다. 필요한 권한이 포함되어 있는 roles/editor, roles/owner, roles/dlp.user 역할을 부여하거나 이 권한을 포함하는 자체 커스텀 역할을 정의할 수 있습니다.

이 권한은 사용자가 지정하는 프로젝트의 결제 승인을 받았는지 확인합니다.

서비스 계정

Google Cloud 리소스에 액세스하고 Sensitive Data Protection에 대한 호출을 실행하기 위해 Sensitive Data Protection은 Cloud Data Loss Prevention 서비스 에이전트의 사용자 인증 정보를 사용하여 다른 API에 인증합니다. 서비스 에이전트는 사용자를 대신하여 내부 Google 프로세스를 실행하는 특수한 유형의 서비스 계정입니다. 다음 이메일을 사용하여 서비스 에이전트를 식별할 수 있습니다.

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

Cloud Data Loss Prevention 서비스 에이전트는 처음 필요할 때 생성됩니다. 다음과 같이 InspectContent를 호출하여 미리 만들 수 있습니다.

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

PROJECT_ID프로젝트 ID로 바꿉니다.

Cloud Data Loss Prevention 서비스 에이전트에게는 리소스 검사에 필요한 프로젝트에 대한 일반 권한이 자동으로 부여되며, 해당 서비스 에이전트는 Google Cloud 콘솔의 IAM 섹션에 나열됩니다. 서비스 에이전트는 프로젝트와 함께 무기한 존재하며, 프로젝트가 삭제될 때만 삭제됩니다. Sensitive Data Protection은 이 서비스 에이전트를 사용하므로 이 에이전트를 삭제해서는 안 됩니다.

데이터 프로파일링 작업에서 서비스 계정이 사용되는 방식에 대한 자세한 내용은 서비스 에이전트 컨테이너 및 서비스 에이전트를 참고하세요.

작업 권한

권한 이름 설명
dlp.jobs.create 새 작업을 만듭니다.
dlp.jobs.cancel 작업을 취소합니다.
dlp.jobs.delete 작업을 삭제합니다.
dlp.jobs.get 작업 객체를 읽습니다.
dlp.jobs.list 작업을 나열합니다.
dlp.jobs.hybridInspect 하이브리드 작업에서 하이브리드 검사 호출을 수행합니다.

작업 트리거 권한

권한 이름 설명
dlp.jobTriggers.create 새 작업 트리거를 만듭니다.
dlp.jobTriggers.delete 작업 트리거를 삭제합니다.
dlp.jobTriggers.get 작업 트리거 객체를 읽습니다.
dlp.jobTriggers.list 작업 트리거를 나열합니다.
dlp.jobTriggers.update 작업 트리거를 업데이트합니다.
dlp.jobTriggers.hybridInspect 하이브리드 트리거에서 하이브리드 검사 호출을 수행합니다.

검사 템플릿 권한

권한 이름 설명
dlp.inspectTemplates.create 새 검사 템플릿을 만듭니다.
dlp.inspectTemplates.delete 검사 템플릿을 삭제합니다.
dlp.inspectTemplates.get 검사 템플릿 객체를 읽습니다.
dlp.inspectTemplates.list 검사 템플릿을 나열합니다.
dlp.inspectTemplates.update 검사 템플릿을 업데이트합니다.

익명화 템플릿 권한

권한 이름 설명
dlp.deidentifyTemplates.create 새 익명화 템플릿을 만듭니다.
dlp.deidentifyTemplates.delete 익명화 템플릿을 삭제합니다.
dlp.deidentifyTemplates.get 익명화 템플릿 객체를 읽습니다.
dlp.deidentifyTemplates.list 익명화 템플릿을 나열합니다.
dlp.deidentifyTemplates.update 익명화 템플릿을 업데이트합니다.

데이터 프로필 권한

권한 이름 설명
dlp.projectDataProfiles.list 프로젝트 데이터 프로필을 나열합니다.
dlp.projectDataProfiles.get 프로젝트 데이터 프로필 객체를 읽습니다.
dlp.tableDataProfiles.delete 단일 테이블 프로필과 해당 열 프로필을 삭제합니다.
dlp.tableDataProfiles.list 테이블 데이터 프로필을 나열합니다.
dlp.tableDataProfiles.get 테이블 데이터 프로필 객체를 읽습니다.
dlp.columnDataProfiles.list 열 데이터 프로필을 나열합니다.
dlp.columnDataProfiles.get 열 데이터 프로필 객체를 읽습니다.
dlp.fileStoreProfiles.delete 단일 파일 스토어 프로필을 삭제합니다.
dlp.fileStoreProfiles.list 파일 스토어 데이터 프로필을 나열합니다.
dlp.fileStoreProfiles.get 파일 스토어 데이터 프로필 객체를 읽습니다.

예상 권한

권한 이름 설명
dlp.estimates.get 예상 객체를 읽습니다.
dlp.estimates.list 예상 객체를 나열합니다.
dlp.estimates.create 예상 객체를 만듭니다.
dlp.estimates.delete 예상 객체를 삭제합니다.
dlp.estimates.cancel 진행 중인 예상을 취소합니다.

저장된 infoType 권한

권한 이름 설명
dlp.storedInfoTypes.create 새 저장된 infoType을 만듭니다.
dlp.storedInfoTypes.delete 저장된 infoType을 삭제합니다.
dlp.storedInfoTypes.get 저장된 infoType을 읽습니다.
dlp.storedInfoTypes.list 저장된 infoType을 나열합니다.
dlp.storedInfoTypes.update 저장된 infoType을 업데이트합니다.

구독 권한

권한 이름 설명
dlp.subscriptions.get 새 구독 만들기
dlp.subscriptions.list 구독 나열
dlp.subscriptions.create 구독 만들기
dlp.subscriptions.cancel 구독 취소
dlp.subscriptions.update 구독 업데이트

차트 권한

권한 이름 설명
dlp.charts.get 데이터 프로필 대시보드의 차트 데이터를 가져옵니다.

기타 권한

권한 이름 설명
dlp.kms.encrypt Cloud KMS에 유지되는 암호화 토큰을 사용하여 콘텐츠를 익명화합니다.