Autorizações de IAM da Proteção de dados confidenciais

Autorizações de IAM

Autorizações comuns

Alguns métodos não têm autorizações específicas da proteção de dados confidenciais. Em alternativa, usam os comuns, uma vez que os métodos podem causar eventos faturáveis, mas não acedem a recursos na nuvem protegidos.

Todas as ações que acionam eventos faturáveis, como os métodos projects.content , requerem a autorização serviceusage.services.use para o projeto especificado em parent. As funções roles/editor, roles/owner e roles/dlp.user contêm a autorização necessária, ou pode definir as suas próprias funções personalizadas que contenham esta autorização.

Esta autorização garante que tem autorização para faturar o projeto que especificar.

Conta de serviço

Para aceder aos Google Cloud recursos e executar chamadas para a Proteção de dados confidenciais, a Proteção de dados confidenciais usa as credenciais do agente do serviço de prevenção contra a perda de dados da nuvem para autenticar noutras APIs. Um agente de serviço é um tipo especial de conta de serviço que executa processos internos da Google em seu nome. O agente do serviço é identificável através do email:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

O agente de serviço do Cloud Data Loss Prevention é criado quando é necessário pela primeira vez. Pode criá-lo antecipadamente fazendo uma chamada para InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Substitua PROJECT_ID pelo ID do projeto.

O agente de serviço da prevenção de perda de dados na nuvem recebe automaticamente autorizações comuns no projeto necessárias para inspecionar recursos e é apresentado na secção IAM da Google Cloud consola. O agente de serviço existe indefinidamente com o projeto e só é eliminado quando o projeto é eliminado. A proteção de dados confidenciais depende deste agente do serviço, pelo que não o deve remover.

Google Cloud

Para mais informações sobre como as contas de serviço são usadas em operações de criação de perfis de dados, consulte o artigo Recipiente do agente de serviço e agente de serviço.

Autorizações de tarefas

Nome da autorização Descrição
dlp.jobs.create Criar novos trabalhos.
dlp.jobs.cancel Cancelar tarefas.
dlp.jobs.delete Eliminar trabalhos.
dlp.jobs.get Ler objetos de tarefas.
dlp.jobs.list Anunciar empregos.
dlp.jobs.hybridInspect Faça uma chamada de inspeção híbrida num trabalho híbrido.

Autorizações de acionadores de tarefas

Nome da autorização Descrição
dlp.jobTriggers.create Criar novos acionadores de tarefas.
dlp.jobTriggers.delete Eliminar acionadores de tarefas.
dlp.jobTriggers.get Ler objetos de acionadores de tarefas.
dlp.jobTriggers.list Liste os acionadores de tarefas.
dlp.jobTriggers.update Atualize os acionadores de tarefas.
dlp.jobTriggers.hybridInspect Faça uma chamada de inspeção híbrida num acionador híbrido.

Autorizações do modelo de inspeção

Nome da autorização Descrição
dlp.inspectTemplates.create Criar novos modelos de inspeção.
dlp.inspectTemplates.delete Eliminar modelos de inspeção.
dlp.inspectTemplates.get Ler objetos de modelos de inspeção.
dlp.inspectTemplates.list Listar modelos de inspeção.
dlp.inspectTemplates.update Atualize modelos de inspeção.

Autorizações do modelo de desidentificação

Nome da autorização Descrição
dlp.deidentifyTemplates.create Criar novos modelos de desidentificação.
dlp.deidentifyTemplates.delete Eliminar modelos de desidentificação.
dlp.deidentifyTemplates.get Ler objetos do modelo de anulação da identificação.
dlp.deidentifyTemplates.list Apresente modelos de desidentificação.
dlp.deidentifyTemplates.update Atualize os modelos de anulação da identificação.

Autorizações do perfil de dados

Nome da autorização Descrição
dlp.projectDataProfiles.list Apresente uma lista dos perfis de dados de projetos.
dlp.projectDataProfiles.get Ler objetos de perfil de dados do projeto.
dlp.tableDataProfiles.delete Eliminar um único perfil de tabela e os respetivos perfis de colunas.
dlp.tableDataProfiles.list Apresentar perfis de dados de tabelas.
dlp.tableDataProfiles.get Ler objetos de perfil de dados de tabelas.
dlp.columnDataProfiles.list Apresentar perfis de dados de colunas.
dlp.columnDataProfiles.get Ler objetos de perfil de dados de colunas.
dlp.fileStoreProfiles.delete Elimine um único perfil de loja de ficheiros.
dlp.fileStoreProfiles.list Apresenta perfis de dados de arquivos de armazenamento.
dlp.fileStoreProfiles.get Ler objetos de perfil de dados do arquivo de ficheiros.

Estimativa de autorizações

Nome da autorização Descrição
dlp.estimates.get Ler objetos de estimativa.
dlp.estimates.list Listar objetos de estimativa.
dlp.estimates.create Crie um objeto de estimativa.
dlp.estimates.delete Elimine um objeto de estimativa.
dlp.estimates.cancel Cancele uma estimativa em curso.

Autorizações de infoType armazenadas

Nome da autorização Descrição
dlp.storedInfoTypes.create Crie novos tipos de informações armazenados.
dlp.storedInfoTypes.delete Elimine os tipos de informações armazenados.
dlp.storedInfoTypes.get Ler infotipos armazenados.
dlp.storedInfoTypes.list Apresente os tipos de informações armazenados.
dlp.storedInfoTypes.update Atualize os tipos de informações armazenados.

Autorizações de subscrição

Nome da autorização Descrição
dlp.subscriptions.get Criar novas subscrições.
dlp.subscriptions.list Liste as subscrições.
dlp.subscriptions.create Criar subscrições.
dlp.subscriptions.cancel Cancelar subscrições.
dlp.subscriptions.update Atualize as subscrições.

Autorizações das listas de êxitos

Nome da autorização Descrição
dlp.charts.get Obtenha dados de gráficos para o painel de controlo de perfis de dados.

Autorizações diversas

Nome da autorização Descrição
dlp.kms.encrypt Desidentifique o conteúdo através de tokens de encriptação persistentes no Cloud KMS.