Cloud Data Loss Prevention (Cloud DLP) ora fa parte della protezione dei dati sensibili. Il nome dell'API rimane invariato: API Cloud Data Loss Prevention (API DLP). Per informazioni sui servizi che costituiscono la protezione dei dati sensibili, consulta la panoramica sulla protezione dei dati sensibili.

Autorizzazioni IAM di Sensitive Data Protection

Autorizzazioni IAM

Autorizzazioni comuni

Alcuni metodi non hanno autorizzazioni specifiche per la protezione dei dati sensibili. Utilizzano invece metodi comuni, poiché possono causare eventi fatturabili, ma non accedono a risorse cloud protette.

Tutte le azioni che attivano eventi fatturabili, come i metodi projects.content, richiedono l'autorizzazione serviceusage.services.use per il progetto specificato in parent. I ruoli roles/editor, roles/owner e roles/dlp.user contengono l'autorizzazione richiesta oppure puoi definire i tuoi ruoli personalizzati contenenti questa autorizzazione.

Questa autorizzazione garantisce di avere l'autorizzazione per fatturare il progetto specificato.

Account di servizio

Per accedere a entrambe le risorse Google Cloud ed eseguire chiamate a Sensitive Data Protection, Sensitive Data Protection utilizza le credenziali dell'agente di servizio Cloud Data Loss Prevention per l'autenticazione con altre API. Un agente di servizio è un tipo speciale di account di servizio che esegue processi interni di Google per tuo conto. L'agente di servizio è identificabile tramite l'email:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

L'agente di servizio Cloud Data Loss Prevention viene creato la prima volta che è necessario. Puoi crearla in anticipo chiamando il numero InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Sostituisci PROJECT_ID con l'ID progetto.

All'agente di servizio Cloud Data Loss Prevention vengono concesse automaticamente sul progetto le autorizzazioni comuni necessarie per l'ispezione delle risorse. Inoltre, è elencato nella sezione IAM della console Google Cloud. L'agente di servizio esiste in modo permanente nel progetto e viene eliminato solo quando il progetto viene eliminato. Sensitive Data Protection si basa su questo agente di servizio, quindi non rimuoverlo.

Per saperne di più su come vengono utilizzati gli account di servizio nelle operazioni di profilazione dei dati, consulta Contenitore e agente di servizio dell'agente di servizio.

Autorizzazioni job

Nome autorizzazione	Descrizione
`dlp.jobs.create`	Crea nuovi job.
`dlp.jobs.cancel`	Annulla job.
`dlp.jobs.delete`	Elimina job.
`dlp.jobs.get`	Legge gli oggetti del job.
`dlp.jobs.list`	Elenca job.
`dlp.jobs.hybridInspect`	Effettua una chiamata di ispezione ibrida in un job ibrido.

Autorizzazioni per gli attivatori di job

Nome autorizzazione	Descrizione
`dlp.jobTriggers.create`	Creare nuovi trigger di job.
`dlp.jobTriggers.delete`	Elimina trigger di job.
`dlp.jobTriggers.get`	Lettura degli oggetti trigger di job.
`dlp.jobTriggers.list`	Elenca trigger di job.
`dlp.jobTriggers.update`	Aggiorna i trigger di job.
`dlp.jobTriggers.hybridInspect`	Effettua una chiamata di ispezione ibrida su un trigger ibrido.

Autorizzazioni dei modelli di ispezione

Nome autorizzazione	Descrizione
`dlp.inspectTemplates.create`	Crea nuovi modelli di ispezione.
`dlp.inspectTemplates.delete`	Elimina i modelli di ispezione.
`dlp.inspectTemplates.get`	Lettura degli oggetti del modello di ispezione.
`dlp.inspectTemplates.list`	Elenca modelli di ispezione.
`dlp.inspectTemplates.update`	Aggiorna i modelli di ispezione.

Autorizzazioni del modello di anonimizzazione

Nome autorizzazione	Descrizione
`dlp.deidentifyTemplates.create`	Crea nuovi modelli di anonimizzazione.
`dlp.deidentifyTemplates.delete`	Elimina i modelli di anonimizzazione.
`dlp.deidentifyTemplates.get`	Legge gli oggetti del modello di anonimizzazione.
`dlp.deidentifyTemplates.list`	Elenca modelli di anonimizzazione.
`dlp.deidentifyTemplates.update`	Aggiorna i modelli di anonimizzazione.

Autorizzazioni del profilo dati

Nome autorizzazione	Descrizione
`dlp.projectDataProfiles.list`	Elenca i profili di dati di progetto.
`dlp.projectDataProfiles.get`	Lettura degli oggetti del profilo dati del progetto.
`dlp.tableDataProfiles.delete`	Elimina un singolo profilo della tabella e i relativi profili delle colonne.
`dlp.tableDataProfiles.list`	Elenca i profili di dati della tabella.
`dlp.tableDataProfiles.get`	Leggi gli oggetti del profilo dati delle tabelle.
`dlp.columnDataProfiles.list`	Elenca i profili di dati delle colonne.
`dlp.columnDataProfiles.get`	Leggi gli oggetti del profilo dati della colonna.

Stima autorizzazioni

Nome autorizzazione	Descrizione
`dlp.estimates.get`	Leggi oggetti stima.
`dlp.estimates.list`	Elenca oggetti stima.
`dlp.estimates.create`	Crea un oggetto di stima.
`dlp.estimates.delete`	Elimina un oggetto stima.
`dlp.estimates.cancel`	Annullare una stima in corso.

Autorizzazioni infoType archiviati

Nome autorizzazione	Descrizione
`dlp.storedInfoTypes.create`	Crea nuovi infoType archiviati.
`dlp.storedInfoTypes.delete`	Elimina infoType archiviati.
`dlp.storedInfoTypes.get`	Legge gli infoType archiviati.
`dlp.storedInfoTypes.list`	Elenca gli infoType archiviati.
`dlp.storedInfoTypes.update`	Aggiorna gli infoType archiviati.

Autorizzazioni per gli abbonamenti

Nome autorizzazione	Descrizione
`dlp.subscriptions.get`	Creare nuove sottoscrizioni.
`dlp.subscriptions.list`	Elencare le sottoscrizioni.
`dlp.subscriptions.create`	Creare sottoscrizioni.
`dlp.subscriptions.cancel`	Annullare gli abbonamenti.
`dlp.subscriptions.update`	Aggiorna abbonamenti.

Autorizzazioni varie

Nome autorizzazione	Descrizione
`dlp.kms.encrypt`	Anonimizza i contenuti mediante i token di crittografia memorizzati in Cloud KMS.