Autorizzazioni IAM di Sensitive Data Protection

Autorizzazioni IAM

Autorizzazioni comuni

Alcuni metodi non hanno autorizzazioni specifiche per Sensitive Data Protection. Utilizzano invece autorizzazioni comuni, in quanto i metodi possono causare eventi fatturabili, ma non accedono a risorse cloud protette.

Tutte le azioni che attivano eventi fatturabili, come i projects.content metodi, richiedono l'autorizzazione serviceusage.services.use per il progetto specificato in parent. I ruoli roles/editor, roles/owner e roles/dlp.user contengono l'autorizzazione richiesta oppure puoi definire i tuoi ruoli personalizzati che contengono questa autorizzazione.

Questa autorizzazione garantisce che tu sia autorizzato a fatturare il progetto specificato.

Service account

Per accedere alle risorse ed eseguire chiamate a Sensitive Data Protection, Sensitive Data Protection utilizza le credenziali dell'agente di servizio Cloud Data Loss Prevention per l'autenticazione ad altre API. Google Cloud Un agente di servizio è un tipo speciale di account di servizio che esegue processi interni di Google per tuo conto. L'agente di servizio è identificabile utilizzando l'indirizzo email:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

L'agente di servizio Cloud Data Loss Prevention viene creato la prima volta che è necessario. Puoi crearlo in anticipo effettuando una chiamata a InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Sostituisci PROJECT_ID con l'ID progetto.

All'agente di servizio Cloud Data Loss Prevention vengono concesse automaticamente le autorizzazioni comuni sul progetto necessarie per l'ispezione delle risorse ed è elencato nella sezione IAM della Google Cloud console. L'agente di servizio esiste a tempo indeterminato con il progetto e viene eliminato solo quando viene eliminato il progetto. Sensitive Data Protection si basa su questo agente di servizio, quindi non devi rimuoverlo.

Per ulteriori informazioni su come vengono utilizzati i service account nelle operazioni di profilazione dei dati, vedi Contenitore dell'agente di servizio e agente di servizio.

Autorizzazioni per i job

Nome autorizzazione Descrizione
dlp.jobs.create Crea nuovi job.
dlp.jobs.cancel Annulla job.
dlp.jobs.delete Elimina i job.
dlp.jobs.get Legge gli oggetti job.
dlp.jobs.list Elenca i job.
dlp.jobs.hybridInspect Effettua una chiamata di ispezione ibrida su un job ibrido.

Autorizzazioni per i trigger di job

Nome autorizzazione Descrizione
dlp.jobTriggers.create Crea nuovi trigger di job.
dlp.jobTriggers.delete Elimina i trigger di job.
dlp.jobTriggers.get Legge gli oggetti trigger di job.
dlp.jobTriggers.list Elenca i trigger di job.
dlp.jobTriggers.update Aggiorna i trigger di job.
dlp.jobTriggers.hybridInspect Effettua una chiamata di ispezione ibrida su un trigger ibrido.

Autorizzazioni per i modelli di ispezione

Nome autorizzazione Descrizione
dlp.inspectTemplates.create Crea nuovi modelli di ispezione.
dlp.inspectTemplates.delete Elimina i modelli di ispezione.
dlp.inspectTemplates.get Legge gli oggetti modello di ispezione.
dlp.inspectTemplates.list Elenca i modelli di ispezione.
dlp.inspectTemplates.update Aggiorna i modelli di ispezione.

Autorizzazioni per i modelli di anonimizzazione

Nome autorizzazione Descrizione
dlp.deidentifyTemplates.create Crea nuovi modelli di anonimizzazione.
dlp.deidentifyTemplates.delete Elimina i modelli di anonimizzazione.
dlp.deidentifyTemplates.get Legge gli oggetti modello di anonimizzazione.
dlp.deidentifyTemplates.list Elenca i modelli di anonimizzazione.
dlp.deidentifyTemplates.update Aggiorna i modelli di anonimizzazione.

Autorizzazioni per i profili di dati

Nome autorizzazione Descrizione
dlp.projectDataProfiles.list Elenca i profili di dati del progetto.
dlp.projectDataProfiles.get Legge gli oggetti profilo di dati del progetto.
dlp.tableDataProfiles.delete Elimina un singolo profilo di tabella e i relativi profili di colonna.
dlp.tableDataProfiles.list Elenca i profili di dati della tabella.
dlp.tableDataProfiles.get Legge gli oggetti profilo di dati della tabella.
dlp.columnDataProfiles.list Elenca i profili di dati della colonna.
dlp.columnDataProfiles.get Legge gli oggetti profilo di dati della colonna.
dlp.fileStoreProfiles.delete Elimina un singolo profilo dell'archivio file.
dlp.fileStoreProfiles.list Elenca i profili di dati dell'archivio file.
dlp.fileStoreProfiles.get Legge gli oggetti profilo di dati del datastore file.

Autorizzazioni per le stime

Nome autorizzazione Descrizione
dlp.estimates.get Legge gli oggetti di stima.
dlp.estimates.list Elenca gli oggetti di stima.
dlp.estimates.create Crea un oggetto di stima.
dlp.estimates.delete Elimina un oggetto di stima.
dlp.estimates.cancel Annulla una stima in corso.

Autorizzazioni per gli infoType archiviati

Nome autorizzazione Descrizione
dlp.storedInfoTypes.create Crea nuovi infoType archiviati.
dlp.storedInfoTypes.delete Elimina gli infoType archiviati.
dlp.storedInfoTypes.get Legge gli infoType archiviati.
dlp.storedInfoTypes.list Elenca gli infoType archiviati.
dlp.storedInfoTypes.update Aggiorna gli infoType archiviati.

Autorizzazioni per gli abbonamenti

Nome autorizzazione Descrizione
dlp.subscriptions.get Crea nuovi abbonamenti.
dlp.subscriptions.list Elenca gli abbonamenti.
dlp.subscriptions.create Crea abbonamenti.
dlp.subscriptions.cancel Annulla gli abbonamenti.
dlp.subscriptions.update Aggiorna gli abbonamenti.

Autorizzazioni per i grafici

Nome autorizzazione Descrizione
dlp.charts.get Recupera i dati dei grafici per la dashboard dei profili di dati.

Autorizzazioni varie

Nome autorizzazione Descrizione
dlp.kms.encrypt Anonimizza i contenuti utilizzando i token di crittografia persistenti in Cloud KMS.