Cloud Data Loss Prevention (Cloud DLP) 現已併入機密資料保護。API 名稱維持不變:Cloud Data Loss Prevention API (DLP API)。如要瞭解構成 Sensitive Data Protection 的服務,請參閱「
Sensitive Data Protection 總覽 」。
提供意見
Sensitive Data Protection IAM 權限
IAM 權限
一般權限
某些方法沒有私密資料保護專用權限,會改用一般權限,因為這些方法會導致計費事件,但不會存取任何受保護的雲端資源。
凡是會觸發可計費事件的操作 (例如 projects.contentparent 中指定專案的 serviceusage.services.use 權限。roles/editor、roles/owner 和 roles/dlp.user 角色包含必要的權限,或者您也可以定義自己的自訂角色 來包含這項權限。
這項權限可確保您有權向您指定的專案收費。
服務帳戶
如要存取這兩項資源並執行對機密資料保護服務的呼叫,機密資料保護服務會使用 Cloud Data Loss Prevention 服務代理程式的憑證,向其他 API 進行驗證。 Google Cloud 服務代理程式是一種特殊的服務帳戶,可代表您執行內部 Google 程序。服務代理可以使用電子郵件識別:
service-PROJECT_NUMBER @dlp-api.iam.gserviceaccount.com
首次需要時,系統會建立 Cloud Data Loss Prevention 服務代理人。您可以呼叫 InspectContent
curl --request POST \
"https://dlp.googleapis.com/v2/projects/PROJECT_ID /locations/us-central1/content:inspect" \
--header "X-Goog-User-Project: PROJECT_ID " \
--header "Authorization: Bearer $( gcloud auth print-access-token) " \
--header 'Accept: application/json' \
--header 'Content-Type: application/json' \
--data '{"item":{"value":"google@google.com"}}' \
--compressed 將 PROJECT_ID 專案 ID 。
系統會自動授予 Cloud Data Loss Prevention 服務代理人專案的常見權限,以便檢查資源,並列在 Google Cloud 控制台的 IAM 區段中。服務代理程式會與專案一起無限期存在,只有刪除專案時才會隨之刪除。Sensitive Data Protection 需要使用這個服務代理,因此請勿移除。
注意: 如果您使用機密資料保護服務掃描重要資源 (例如受其他自訂 Identity and Access Management 角色保護的資源),則必須將這些其他 IAM 角色指派給 Cloud Data Loss Prevention 服務代理程式。舉例來說,如果您要使用機密資料保護服務檢查 Google Cloud 中僅限某個個人子集的檔案,您必須將適當角色授予 Cloud Data Loss Prevention 服務代理程式。 警告: 如果移除 Cloud Data Loss Prevention 服務代理程式或撤銷其角色,所有工作 和工作觸發條件 都會失敗。 如要進一步瞭解服務帳戶在資料剖析作業中的用途,請參閱「服務代理程式容器和服務代理程式 」。
工作權限
權限名稱
說明
dlp.jobs.create建立新工作。
dlp.jobs.cancel取消工作。
dlp.jobs.delete刪除工作。
dlp.jobs.get讀取工作物件。
dlp.jobs.list列出工作。
dlp.jobs.hybridInspect對混合工作進行混合檢查呼叫。
工作觸發權限
權限名稱
說明
dlp.jobTriggers.create建立新的工作觸發條件。
dlp.jobTriggers.delete刪除工作觸發條件。
dlp.jobTriggers.get讀取工作觸發條件物件。
dlp.jobTriggers.list列出工作觸發條件。
dlp.jobTriggers.update更新工作觸發條件。
dlp.jobTriggers.hybridInspect在混合式觸發程序上發出混合式檢查呼叫。
檢查範本權限
權限名稱
說明
dlp.inspectTemplates.create建立新的檢查範本。
dlp.inspectTemplates.delete刪除檢查範本。
dlp.inspectTemplates.get讀取檢查範本物件。
dlp.inspectTemplates.list列出檢查範本。
dlp.inspectTemplates.update更新檢查範本。
去識別化範本權限
權限名稱
說明
dlp.deidentifyTemplates.create建立新的去識別化範本。
dlp.deidentifyTemplates.delete刪除去識別化範本。
dlp.deidentifyTemplates.get讀取去識別化範本物件。
dlp.deidentifyTemplates.list列出去識別化範本。
dlp.deidentifyTemplates.update更新去識別化範本。
資料設定檔權限
權限名稱
說明
dlp.projectDataProfiles.list列出專案資料設定檔。
dlp.projectDataProfiles.get讀取專案資料設定檔物件。
dlp.tableDataProfiles.delete刪除單一資料表設定檔及其資料欄設定檔。
dlp.tableDataProfiles.list列出資料表資料剖析檔。
dlp.tableDataProfiles.get讀取資料表資料剖析檔物件。
dlp.columnDataProfiles.list列出資料欄資料設定檔。
dlp.columnDataProfiles.get讀取資料欄資料剖析物件。
dlp.fileStoreProfiles.delete刪除單一檔案商店設定檔。
dlp.fileStoreProfiles.list列出檔案儲存庫資料剖析檔。
dlp.fileStoreProfiles.get可讀取檔案儲存庫資料剖析檔物件。
預估權限
權限名稱
說明
dlp.estimates.get讀取預估物件。
dlp.estimates.list列出預估物件。
dlp.estimates.create建立預估物件。
dlp.estimates.delete刪除預估物件。
dlp.estimates.cancel取消進行中的估算作業。
儲存的 infoType 權限
權限名稱
說明
dlp.storedInfoTypes.create建立新儲存的 Infotype。
dlp.storedInfoTypes.delete刪除儲存的資訊類型。
dlp.storedInfoTypes.get讀取儲存的 Infotype。
dlp.storedInfoTypes.list列出已儲存的資訊類型。
dlp.storedInfoTypes.update更新已儲存的資訊類型。
訂閱權限
權限名稱
說明
dlp.subscriptions.get建立新訂閱項目。
dlp.subscriptions.list列出訂閱項目。
dlp.subscriptions.create建立訂閱項目。
dlp.subscriptions.cancel取消訂閱。
dlp.subscriptions.update更新訂閱項目。
圖表權限
權限名稱
說明
dlp.charts.get取得資料剖析檔資訊主頁的圖表資料。
其他權限
權限名稱
說明
dlp.kms.encrypt使用 Cloud KMS 中持續保留的加密代碼來將內容去識別化。
提供意見
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權 ,程式碼範例則為阿帕契 2.0 授權 。詳情請參閱《Google Developers 網站政策 》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-10-19 (世界標準時間)。
想進一步說明嗎?
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-10-19 (世界標準時間)。"],[],[]]
