機密データの保護の IAM 権限

IAM の権限

共通権限

一部のメソッドには、機密データの保護に固有の権限はありません。代わりに、共通権限を使用します。これは、これらのメソッドによって課金可能なイベントが発生する可能性がありますが、保護されたクラウド リソースにアクセスしないためです。

projects.content メソッドなどの課金可能なイベントをトリガーするすべてのアクションには、parent で指定されたプロジェクトに対する serviceusage.services.use 権限が必要です。roles/editorroles/ownerroles/dlp.user のロールに必要な権限が含まれているか、この権限を含む独自のカスタムロールを定義できます。

この権限により、指定したプロジェクトに課金する権限が与えられます。

サービス アカウント

Google Cloud リソースにアクセスして機密データの保護への呼び出しを実行するため、機密データの保護では Cloud Data Loss Prevention サービス エージェントの認証情報を使用して他の API を認証します。サービス エージェントは、ユーザーに代わって Google の内部プロセスを実行する特別なタイプのサービス アカウントです。このサービス エージェントは、次のメールを使用して識別されます。

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

Cloud Data Loss Prevention サービス エージェントは、必要になったときに初めて作成されます。InspectContent を呼び出して事前に作成することも可能です。

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

PROJECT_ID の部分は、プロジェクト ID で置き換えます。

Cloud Data Loss Prevention サービス エージェントには、リソースの検査に必要なプロジェクトの共通権限が自動的に付与され、 Google Cloud コンソールの [IAM] セクションに表示されます。このサービス エージェントは、常にプロジェクトと一緒に存在し、プロジェクトを削除した場合にのみ削除されます。Sensitive Data Protection はこのサービス エージェントを利用しているため、削除しないでください。

データ プロファイリング オペレーションでのサービス アカウントの使用方法の詳細については、サービス エージェント コンテナとサービス エージェントをご覧ください。

ジョブ権限

権限名 説明
dlp.jobs.create 新しいジョブを作成します。
dlp.jobs.cancel ジョブをキャンセルします。
dlp.jobs.delete ジョブを削除します。
dlp.jobs.get ジョブ オブジェクトを読み取ります。
dlp.jobs.list ジョブを一覧表示します。
dlp.jobs.hybridInspect ハイブリッド ジョブに対してハイブリッド検査呼び出しを行います。

ジョブトリガー権限

権限名 説明
dlp.jobTriggers.create 新しいジョブトリガーを作成します。
dlp.jobTriggers.delete ジョブトリガーを削除します。
dlp.jobTriggers.get ジョブトリガー オブジェクトを読み取ります。
dlp.jobTriggers.list ジョブトリガーを一覧表示します。
dlp.jobTriggers.update ジョブトリガーを更新します。
dlp.jobTriggers.hybridInspect ハイブリッド トリガーに対してハイブリッド検査呼び出しを行います。

監査用テンプレートの権限

権限名 説明
dlp.inspectTemplates.create 新しい検査テンプレートを作成します。
dlp.inspectTemplates.delete 検査テンプレートを削除します。
dlp.inspectTemplates.get 検査テンプレート オブジェクトを読み取ります。
dlp.inspectTemplates.list 検査テンプレートを一覧表示します。
dlp.inspectTemplates.update 検査テンプレートを更新します。

匿名化テンプレートの権限

権限名 説明
dlp.deidentifyTemplates.create 新しい匿名化テンプレートを作成します。
dlp.deidentifyTemplates.delete 匿名化テンプレートを削除します。
dlp.deidentifyTemplates.get 匿名化テンプレート オブジェクトを読み取ります。
dlp.deidentifyTemplates.list 匿名化テンプレートを一覧表示します。
dlp.deidentifyTemplates.update 匿名化テンプレートを更新します。

データ プロファイルの権限

権限名 説明
dlp.projectDataProfiles.list プロジェクト データ プロファイルを一覧表示します。
dlp.projectDataProfiles.get プロジェクト データ プロファイル オブジェクトを読み取ります。
dlp.tableDataProfiles.delete 1 つのテーブル プロファイルとその列のプロファイルを削除します。
dlp.tableDataProfiles.list テーブルデータ プロファイルを一覧表示します。
dlp.tableDataProfiles.get テーブル データ プロファイル オブジェクトを読み取ります。
dlp.columnDataProfiles.list 列データ プロファイルを一覧表示します。
dlp.columnDataProfiles.get 列データ プロファイル オブジェクトを読み取ります。
dlp.fileStoreProfiles.delete 1 つのファイル ストア プロファイルを削除します。
dlp.fileStoreProfiles.list ファイルストアのデータ プロファイルを一覧表示します。
dlp.fileStoreProfiles.get ファイルストアのデータ プロファイル オブジェクトを読み取ります。

見積もり権限

権限名 説明
dlp.estimates.get 見積もりオブジェクトを読み取ります。
dlp.estimates.list 見積もりオブジェクトを一覧表示します。
dlp.estimates.create 見積もりオブジェクトを作成します。
dlp.estimates.delete 見積もりオブジェクトを削除します。
dlp.estimates.cancel 現在進行中の見積もりをキャンセルします。

格納される infoType 権限

権限名 説明
dlp.storedInfoTypes.create 新しい格納される infoType を作成します。
dlp.storedInfoTypes.delete 格納される infoType を削除します。
dlp.storedInfoTypes.get 格納される infoType を読み取ります。
dlp.storedInfoTypes.list 格納される infoType を一覧表示します。
dlp.storedInfoTypes.update 格納される infoType を更新します。

サブスクリプションの権限

権限名 説明
dlp.subscriptions.get 新しいサブスクリプションを作成します。
dlp.subscriptions.list サブスクリプションを一覧表示します。
dlp.subscriptions.create サブスクリプションを作成します。
dlp.subscriptions.cancel サブスクリプションを解約します。
dlp.subscriptions.update サブスクリプションを更新します。

グラフの権限

権限名 説明
dlp.charts.get データ プロファイル ダッシュボードのグラフデータを取得します。

その他の権限

権限名 説明
dlp.kms.encrypt Cloud KMS に保持されている暗号化トークンを使用してコンテンツを匿名化します。