Cloud Data Loss Prevention (Cloud DLP) 現已併入機密資料保護。API 名稱維持不變：Cloud Data Loss Prevention API (DLP API)。如要瞭解構成 Sensitive Data Protection 的服務，請參閱「Sensitive Data Protection 總覽」。

本頁面由 Cloud Translation API 翻譯而成。

Sensitive Data Protection IAM 權限

IAM 權限

一般權限

某些方法沒有私密資料保護專用權限，會改用一般權限，因為這些方法會導致計費事件，但不會存取任何受保護的雲端資源。

凡是會觸發可計費事件的操作 (例如 projects.content 方法)，都必須具備 parent 中指定專案的 serviceusage.services.use 權限。roles/editor、roles/owner 和 roles/dlp.user 角色包含必要的權限，或者您也可以定義自己的自訂角色來包含這項權限。

這項權限可確保您有權向您指定的專案收費。

服務帳戶

如要存取這兩項資源並執行對機密資料保護服務的呼叫，機密資料保護服務會使用 Cloud Data Loss Prevention 服務代理程式的憑證，向其他 API 進行驗證。 Google Cloud 服務代理程式是一種特殊的服務帳戶，可代表您執行內部 Google 程序。服務代理可以使用電子郵件識別：

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

首次需要時，系統會建立 Cloud Data Loss Prevention 服務代理人。您可以呼叫 InspectContent 預先建立：

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

將 PROJECT_ID 替換為專案 ID。

系統會自動授予 Cloud Data Loss Prevention 服務代理人專案的常見權限，以便檢查資源，並列在 Google Cloud 控制台的 IAM 區段中。服務代理程式會與專案一起無限期存在，只有刪除專案時才會隨之刪除。Sensitive Data Protection 需要使用這個服務代理，因此請勿移除。

如要進一步瞭解服務帳戶在資料剖析作業中的用途，請參閱「服務代理程式容器和服務代理程式」。

工作權限

權限名稱	說明
`dlp.jobs.create`	建立新工作。
`dlp.jobs.cancel`	取消工作。
`dlp.jobs.delete`	刪除工作。
`dlp.jobs.get`	讀取工作物件。
`dlp.jobs.list`	列出工作。
`dlp.jobs.hybridInspect`	對混合工作進行混合檢查呼叫。

工作觸發權限

權限名稱	說明
`dlp.jobTriggers.create`	建立新的工作觸發條件。
`dlp.jobTriggers.delete`	刪除工作觸發條件。
`dlp.jobTriggers.get`	讀取工作觸發條件物件。
`dlp.jobTriggers.list`	列出工作觸發條件。
`dlp.jobTriggers.update`	更新工作觸發條件。
`dlp.jobTriggers.hybridInspect`	在混合式觸發程序上發出混合式檢查呼叫。

檢查範本權限

權限名稱	說明
`dlp.inspectTemplates.create`	建立新的檢查範本。
`dlp.inspectTemplates.delete`	刪除檢查範本。
`dlp.inspectTemplates.get`	讀取檢查範本物件。
`dlp.inspectTemplates.list`	列出檢查範本。
`dlp.inspectTemplates.update`	更新檢查範本。

去識別化範本權限

權限名稱	說明
`dlp.deidentifyTemplates.create`	建立新的去識別化範本。
`dlp.deidentifyTemplates.delete`	刪除去識別化範本。
`dlp.deidentifyTemplates.get`	讀取去識別化範本物件。
`dlp.deidentifyTemplates.list`	列出去識別化範本。
`dlp.deidentifyTemplates.update`	更新去識別化範本。

資料設定檔權限

權限名稱	說明
`dlp.projectDataProfiles.list`	列出專案資料設定檔。
`dlp.projectDataProfiles.get`	讀取專案資料設定檔物件。
`dlp.tableDataProfiles.delete`	刪除單一資料表設定檔及其資料欄設定檔。
`dlp.tableDataProfiles.list`	列出資料表資料剖析檔。
`dlp.tableDataProfiles.get`	讀取資料表資料剖析檔物件。
`dlp.columnDataProfiles.list`	列出資料欄資料設定檔。
`dlp.columnDataProfiles.get`	讀取資料欄資料剖析物件。
`dlp.fileStoreProfiles.delete`	刪除單一檔案商店設定檔。
`dlp.fileStoreProfiles.list`	列出檔案儲存庫資料剖析檔。
`dlp.fileStoreProfiles.get`	可讀取檔案儲存庫資料剖析檔物件。

預估權限

權限名稱	說明
`dlp.estimates.get`	讀取預估物件。
`dlp.estimates.list`	列出預估物件。
`dlp.estimates.create`	建立預估物件。
`dlp.estimates.delete`	刪除預估物件。
`dlp.estimates.cancel`	取消進行中的估算作業。

儲存的 infoType 權限

權限名稱	說明
`dlp.storedInfoTypes.create`	建立新儲存的 Infotype。
`dlp.storedInfoTypes.delete`	刪除儲存的資訊類型。
`dlp.storedInfoTypes.get`	讀取儲存的 Infotype。
`dlp.storedInfoTypes.list`	列出已儲存的資訊類型。
`dlp.storedInfoTypes.update`	更新已儲存的資訊類型。

訂閱權限

權限名稱	說明
`dlp.subscriptions.get`	建立新訂閱項目。
`dlp.subscriptions.list`	列出訂閱項目。
`dlp.subscriptions.create`	建立訂閱項目。
`dlp.subscriptions.cancel`	取消訂閱。
`dlp.subscriptions.update`	更新訂閱項目。

圖表權限

權限名稱	說明
`dlp.charts.get`	取得資料剖析檔資訊主頁的圖表資料。

其他權限

權限名稱	說明
`dlp.kms.encrypt`	使用 Cloud KMS 中持續保留的加密代碼來將內容去識別化。