Autorisations IAM pour la protection des données sensibles

Autorisations IAM

Autorisations communes

Certaines méthodes ne disposent pas d'autorisations spécifiques à la protection des données sensibles. mais utilisent plutôt des autorisations communes. Ces méthodes peuvent ainsi déclencher des événements facturables. Cependant, elles n'accèdent à aucune ressource cloud protégée.

Toutes les actions qui déclenchent des événements facturables, telles que les méthodes projects.content, nécessitent l'autorisation serviceusage.services.use pour le projet spécifié dans parent. Les rôles roles/editor, roles/owner et roles/dlp.user disposent de cette autorisation, mais vous pouvez définir vos propres rôles personnalisés avec cette autorisation.

Cette autorisation vous permet de facturer le projet que vous spécifiez.

Compte de service

Pour accéder aux ressources Google Cloud et exécuter des appels à la protection des données sensibles, cette fonctionnalité utilise les identifiants de l'agent de service Cloud Data Loss Prevention pour s'authentifier auprès d'autres API. Un agent de service est un type de compte de service particulier qui exécute des processus Google internes en votre nom. L'agent de service peut être identifié à l'aide de l'adresse e-mail :

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

L'agent de service Cloud Data Loss Prevention est créé la première fois qu'il est nécessaire. Vous pouvez le créer à l'avance en appelant la méthode InspectContent :

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Remplacez PROJECT_ID par l'ID du projet.

L'agent de service Cloud Data Loss Prevention se voit automatiquement attribuer sur le projet les autorisations communes nécessaires pour inspecter les ressources. Il figure dans la section "IAM" de la console Google Cloud. L'agent de service existe indéfiniment avec le projet et n'est supprimé que lorsque ce dernier est supprimé. La protection des données sensibles repose sur cet agent de service. Vous ne devez donc pas le supprimer.

Pour en savoir plus sur l'utilisation des comptes de service dans les opérations de profilage des données, consultez la page Conteneur de l'agent de service et agent de service.

Autorisations liées aux tâches

Nom de l'autorisation Description
dlp.jobs.create Créer des tâches
dlp.jobs.cancel Annuler des tâches
dlp.jobs.delete Supprimer des tâches
dlp.jobs.get Consulter les objets de tâches
dlp.jobs.list Répertorier les tâches
dlp.jobs.hybridInspect Effectuer un appel d'inspection hybride sur une tâche hybride

Autorisations relatives aux déclencheurs de tâches

Nom de l'autorisation Description
dlp.jobTriggers.create Créer des déclencheurs de tâches
dlp.jobTriggers.delete Supprimer des déclencheurs de tâches
dlp.jobTriggers.get Consulter les objets de déclencheurs de tâches
dlp.jobTriggers.list Répertorier les déclencheurs de tâches
dlp.jobTriggers.update Mettre à jour des déclencheurs de tâches
dlp.jobTriggers.hybridInspect Effectuer un appel d'inspection hybride sur un déclencheur hybride

Autorisations liées aux modèles d'inspection

Nom de l'autorisation Description
dlp.inspectTemplates.create Créer des modèles d'inspection
dlp.inspectTemplates.delete Supprimer des modèles d'inspection
dlp.inspectTemplates.get Consulter les objets de modèles d'inspection
dlp.inspectTemplates.list Répertorier les modèles d'inspection
dlp.inspectTemplates.update Mettre à jour des modèles d'inspection

Autorisations liées aux modèles d'anonymisation

Nom de l'autorisation Description
dlp.deidentifyTemplates.create Créer des modèles d'anonymisation
dlp.deidentifyTemplates.delete Supprimer des modèles d'anonymisation
dlp.deidentifyTemplates.get Consulter les objets de modèles d'anonymisation
dlp.deidentifyTemplates.list Répertorier les modèles d'anonymisation
dlp.deidentifyTemplates.update Mettre à jour des modèles d'anonymisation

Autorisations liées aux profils de données

Nom de l'autorisation Description
dlp.projectDataProfiles.list Répertorier les profils de données de projet
dlp.projectDataProfiles.get Consulter les objets de profils de données de projet
dlp.tableDataProfiles.delete Supprimez un seul profil de table et ses profils de colonnes.
dlp.tableDataProfiles.list Répertorier les profils de données de table
dlp.tableDataProfiles.get Consulter les objets de profils de données de table
dlp.columnDataProfiles.list Répertorier les profils de données de colonne
dlp.columnDataProfiles.get Consulter les objets de profils de données de colonne

Estimer les autorisations

Nom de l'autorisation Description
dlp.estimates.get Consulter les objets d'estimation
dlp.estimates.list Répertorier les objets d'estimation
dlp.estimates.create Créer un objet d'estimation
dlp.estimates.delete Supprimer un objet d'estimation
dlp.estimates.cancel Annuler une estimation en cours

Autorisations liées aux infoTypes stockés

Nom de l'autorisation Description
dlp.storedInfoTypes.create Créer des infoTypes stockés
dlp.storedInfoTypes.delete Supprimer des infoTypes stockés
dlp.storedInfoTypes.get Consulter des infoTypes stockés
dlp.storedInfoTypes.list Répertorier les infoTypes stockés
dlp.storedInfoTypes.update Mettre à jour des infoTypes stockés

Autorisations d'abonnement

Nom de l'autorisation Description
dlp.subscriptions.get Créer des abonnements.
dlp.subscriptions.list Lister les abonnements
dlp.subscriptions.create Créer des abonnements
dlp.subscriptions.cancel Annuler les abonnements
dlp.subscriptions.update Mettre à jour les abonnements

Autorisations diverses

Nom de l'autorisation Description
dlp.kms.encrypt Anonymiser le contenu à l'aide de jetons de chiffrement persistants dans Cloud KMS