Autorizzazioni IAM di Sensitive Data Protection

Autorizzazioni IAM

Autorizzazioni comuni

Alcuni metodi non dispongono di autorizzazioni specifiche per la protezione dei dati sensibili. ma utilizzano quelli comuni, in quanto i metodi possono causare eventi fatturabili, ma non accedono a risorse cloud protette.

Tutte le azioni che attivano eventi fatturabili, come i metodi projects.content, richiedono l'autorizzazione serviceusage.services.use per il progetto specificato in parent. I ruoli roles/editor, roles/owner e roles/dlp.user contengono l'autorizzazione richiesta oppure puoi definire i tuoi ruoli personalizzati contenenti questa autorizzazione.

Questa autorizzazione garantisce che tu sia autorizzato a fatturare il progetto specificato.

Service account

Per accedere a entrambe le risorse ed eseguire chiamate a Sensitive Data Protection, quest'ultima utilizza le credenziali dell'agente di servizio Cloud Data Loss Prevention per l'autenticazione ad altre API. Google Cloud Un agente di servizio è un tipo speciale diaccount di serviziot che esegue processi interni di Google per tuo conto. L'agente di servizio è identificabile utilizzando l'email:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

L'agente di servizio Cloud Data Loss Prevention viene creato la prima volta che è necessario. Puoi crearlo in anticipo chiamando il numero InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Sostituisci PROJECT_ID con l'ID progetto.

All'agente di servizio Cloud Data Loss Prevention vengono concesse automaticamente le autorizzazioni comuni sul progetto necessarie per l'ispezione delle risorse ed è elencato nella sezione IAM della console Google Cloud . L'agente di servizio esiste indefinitamente con il progetto e viene eliminato solo quando viene eliminato il progetto. Sensitive Data Protection si basa su questo agente di servizio, quindi non devi rimuoverlo.

Per ulteriori informazioni su come vengono utilizzati i service account nelle operazioni di profilazione dei dati, consulta Contenitore e service agent.

Autorizzazioni job

Nome autorizzazione Descrizione
dlp.jobs.create Crea nuovi job.
dlp.jobs.cancel Annulla job.
dlp.jobs.delete Elimina i job.
dlp.jobs.get Legge gli oggetti job.
dlp.jobs.list Elenca i job.
dlp.jobs.hybridInspect Effettua una chiamata di ispezione ibrida per un job ibrido.

Autorizzazioni per i trigger di job

Nome autorizzazione Descrizione
dlp.jobTriggers.create Crea nuovi trigger di job.
dlp.jobTriggers.delete Elimina i trigger dei job.
dlp.jobTriggers.get Legge gli oggetti trigger di job.
dlp.jobTriggers.list Elenca i trigger di job.
dlp.jobTriggers.update Aggiorna i trigger di job.
dlp.jobTriggers.hybridInspect Esegui una chiamata di ispezione ibrida su un trigger ibrido.

Autorizzazioni dei modelli di ispezione

Nome autorizzazione Descrizione
dlp.inspectTemplates.create Crea nuovi modelli di ispezione.
dlp.inspectTemplates.delete Elimina i modelli di ispezione.
dlp.inspectTemplates.get Legge gli oggetti del modello di ispezione.
dlp.inspectTemplates.list Elenca i modelli di ispezione.
dlp.inspectTemplates.update Aggiorna i modelli di ispezione.

Autorizzazioni del modello di anonimizzazione

Nome autorizzazione Descrizione
dlp.deidentifyTemplates.create Crea nuovi modelli di anonimizzazione.
dlp.deidentifyTemplates.delete Elimina i modelli di anonimizzazione.
dlp.deidentifyTemplates.get Legge gli oggetti del modello di anonimizzazione.
dlp.deidentifyTemplates.list Elenca i modelli di anonimizzazione.
dlp.deidentifyTemplates.update Aggiorna i modelli di anonimizzazione.

Autorizzazioni per i profili dei dati

Nome autorizzazione Descrizione
dlp.projectDataProfiles.list Elenca i profili dei dati del progetto.
dlp.projectDataProfiles.get Legge gli oggetti profilo dati del progetto.
dlp.tableDataProfiles.delete Elimina un singolo profilo della tabella e i relativi profili delle colonne.
dlp.tableDataProfiles.list Elenca i profili dati delle tabelle.
dlp.tableDataProfiles.get Legge gli oggetti profilo dati tabella.
dlp.columnDataProfiles.list Elenca i profili dei dati delle colonne.
dlp.columnDataProfiles.get Legge gli oggetti profilo dati delle colonne.
dlp.fileStoreProfiles.delete Elimina un singolo profilo di archivio file.
dlp.fileStoreProfiles.list Elenca i profili dati archivio file.
dlp.fileStoreProfiles.get Legge gli oggetti del profilo dati archivio file.

Stimare le autorizzazioni

Nome autorizzazione Descrizione
dlp.estimates.get Leggi gli oggetti di stima.
dlp.estimates.list Elenca gli oggetti di stima.
dlp.estimates.create Crea un oggetto stima.
dlp.estimates.delete Elimina un oggetto di stima.
dlp.estimates.cancel Annulla una stima in corso.

Autorizzazioni infoType archiviato

Nome autorizzazione Descrizione
dlp.storedInfoTypes.create Crea nuovi tipi di informazioni archiviati.
dlp.storedInfoTypes.delete Elimina i tipi di informazioni memorizzati.
dlp.storedInfoTypes.get Legge gli infoType archiviati.
dlp.storedInfoTypes.list Elenca gli infoType archiviati.
dlp.storedInfoTypes.update Aggiorna gli infoType archiviati.

Autorizzazioni di abbonamento

Nome autorizzazione Descrizione
dlp.subscriptions.get Creare nuovi abbonamenti.
dlp.subscriptions.list Elenco abbonamenti.
dlp.subscriptions.create Crea abbonamenti.
dlp.subscriptions.cancel Annullare gli abbonamenti.
dlp.subscriptions.update Aggiorna gli abbonamenti.

Autorizzazioni grafici

Nome autorizzazione Descrizione
dlp.charts.get Recupera i dati del grafico per la dashboard dei profili di dati.

Autorizzazioni varie

Nome autorizzazione Descrizione
dlp.kms.encrypt De-identificare i contenuti utilizzando i token di crittografia persistenti in Cloud KMS.