Permisos de IAM de Sensitive Data Protection

Permisos de IAM

Permisos comunes

Algunos métodos no tienen permisos específicos de Sensitive Data Protection. En su lugar, usan algunos comunes, como los métodos que pueden generar eventos facturables, pero no acceder a ningún recurso de nube protegido.

Todas las acciones que activan eventos facturables, como los métodos projects.content, requieren el permiso serviceusage.services.use para el proyecto que se especifica en parent. Las funciones roles/editor, roles/owner y roles/dlp.user contienen el permiso requerido, o puedes definir tus propias funciones personalizadas que contienen este permiso.

Este permiso te asegura la autorización para facturar el proyecto que especificaste.

Cuenta de servicio

Para acceder a ambos Google Cloud recursos y ejecutar llamadas a Sensitive Data Protection, Sensitive Data Protection usa las credenciales del agente de servicio de Cloud Data Loss Prevention para autenticarse en otras APIs. Un agente de servicio es un tipo especial de cuenta de servicio que ejecuta procesos internos de Google en tu nombre. El agente de servicio se identifica con el siguiente correo electrónico:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

El agente de servicio de Cloud Data Loss Prevention se crea la primera vez que es necesario. Puedes crearlo con anticipación llamando a InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Reemplaza PROJECT_ID por el ID del proyecto.

El agente de servicio de Cloud Data Loss Prevention recibe automáticamente los permisos comunes sobre el proyecto que son necesarios para inspeccionar recursos y aparece en la sección IAM de la Google Cloud consola. El agente de servicio existe de manera indefinida con el proyecto y solo se borra cuando se borra el proyecto. Sensitive Data Protection depende de este agente de servicio, por lo que no debes quitarlo.

Para obtener más información sobre cómo se usan las cuentas de servicio en las operaciones de creación de perfiles de datos, consulta Contenedor de agentes de servicio y agente de servicio.

Permisos de trabajo

Nombre del permiso Descripción
dlp.jobs.create Crea trabajos nuevos.
dlp.jobs.cancel Cancela trabajos.
dlp.jobs.delete Borra trabajos.
dlp.jobs.get Lee objetos de trabajo.
dlp.jobs.list Haz una lista de trabajos.
dlp.jobs.hybridInspect Realiza una llamada de inspección híbrida en un trabajo híbrido.

Permisos de activador de trabajo

Nombre del permiso Descripción
dlp.jobTriggers.create Crea activadores de trabajo nuevos.
dlp.jobTriggers.delete Borra activadores de trabajo.
dlp.jobTriggers.get Lee objetos de activador de trabajo.
dlp.jobTriggers.list Genera una lista de activadores de trabajo.
dlp.jobTriggers.update Actualiza activadores de trabajo.
dlp.jobTriggers.hybridInspect Realiza una llamada de inspección híbrida en un activador híbrido.

Permisos de plantilla de inspección

Nombre del permiso Descripción
dlp.inspectTemplates.create Crea nuevas plantillas de inspección.
dlp.inspectTemplates.delete Borra las plantillas de inspección.
dlp.inspectTemplates.get Lee los objetos de la plantilla de inspección.
dlp.inspectTemplates.list Enumera las plantillas de inspección.
dlp.inspectTemplates.update Actualiza las plantillas de inspección.

Permisos de plantilla de desidentificación

Nombre del permiso Descripción
dlp.deidentifyTemplates.create Crea nuevas plantillas de desidentificación.
dlp.deidentifyTemplates.delete Borra las plantillas de desidentificación.
dlp.deidentifyTemplates.get Lee los objetos de la plantilla de desidentificación.
dlp.deidentifyTemplates.list Genera una lista de las plantillas de desidentificación.
dlp.deidentifyTemplates.update Actualiza las plantillas de desidentificación.

Permisos de perfil de datos

Nombre del permiso Descripción
dlp.projectDataProfiles.list Enumera los perfiles de datos del proyecto.
dlp.projectDataProfiles.get Lee objetos de perfil de datos del proyecto.
dlp.tableDataProfiles.delete Borra un solo perfil de tabla y sus perfiles de columna.
dlp.tableDataProfiles.list Enumera los perfiles de datos de la tabla.
dlp.tableDataProfiles.get Lee objetos de perfil de datos de la tabla.
dlp.columnDataProfiles.list Enumera los perfiles de datos de la columna.
dlp.columnDataProfiles.get Lee objetos de perfil de datos de la columna.
dlp.fileStoreProfiles.delete Borra un solo perfil de almacén de archivos.
dlp.fileStoreProfiles.list Enumera los perfiles de datos del almacén de archivos.
dlp.fileStoreProfiles.get Lee objetos de perfil de datos del almacén de archivos.

Permisos de estimación

Nombre del permiso Descripción
dlp.estimates.get Lee objetos de estimación.
dlp.estimates.list Enumera objetos de estimación.
dlp.estimates.create Crea un objeto de estimación.
dlp.estimates.delete Borra un objeto de estimación.
dlp.estimates.cancel Cancela una estimación en curso.

Permisos de Infotipos almacenados

Nombre del permiso Descripción
dlp.storedInfoTypes.create Crea infotipos almacenados nuevos.
dlp.storedInfoTypes.delete Borra infotipos almacenados.
dlp.storedInfoTypes.get Lee infotipos almacenados.
dlp.storedInfoTypes.list Enumera infotipos almacenados.
dlp.storedInfoTypes.update Actualiza infotipos almacenados.

Permisos de suscripción

Nombre del permiso Descripción
dlp.subscriptions.get Crea suscripciones nuevas.
dlp.subscriptions.list Enumera suscripciones.
dlp.subscriptions.create Crea suscripciones.
dlp.subscriptions.cancel Cancela suscripciones.
dlp.subscriptions.update Actualiza suscripciones.

Permisos de gráficos

Nombre del permiso Descripción
dlp.charts.get Obtén datos de gráficos para el panel de perfiles de datos.

Permisos varios

Nombre del permiso Descripción
dlp.kms.encrypt Desidentifica el contenido con tokens de encriptación persistentes en Cloud KMS.