Autenticazione nell'API DLP

Per utilizzarla, devi autenticarti nell'API DLP. L'API DLP può gestire sia le chiavi API sia l'autenticazione. La principale differenza tra questi due metodi è:

  • Le chiavi API identificano il progetto chiamante (l'app o il sito) che esegue la chiamata a un'API.
  • I token di autenticazione identificano un utente, ovvero la persona, che utilizza il progetto.

Utilizzo di una chiave API per l'accesso non autenticato

Puoi utilizzare una chiave API della console Google Cloud per autenticarti all'API DLP per alcuni metodi, inclusi tutti i metodi projects.content.* e projects.image.*.

  1. Segui le istruzioni per creare una chiave API per il tuo progetto della console Google Cloud.
  2. Quando effettui una richiesta all'API DLP, passa la chiave come valore di un parametro key. Ad esempio:
    curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]

È importante proteggere le chiavi API da usi non autorizzati. Per consigli su come procedere, consulta le best practice per l'utilizzo sicuro delle chiavi API.

utilizza un service account

Per utilizzare un account di servizio per l'autenticazione all'API DLP:

  • Segui le istruzioni per creare un account di servizio. Seleziona JSON come tipo di chiave e concedi all'utente il ruolo Utente DLP (roles/dlp.user).

Per ulteriori informazioni sull'assegnazione dei ruoli agli account di servizio, consulta Assegnare i ruoli agli account di servizio.

Al termine, la chiave dell'account di servizio viene scaricata nella posizione predefinita del browser.

Successivamente, decidi se fornire l'autenticazione dell'account di servizio come token di trasporto o utilizzando credenziali predefinite dell'applicazione.

Token bearer che utilizzano un account di servizio

Se chiami direttamente l'API DLP, ad esempio effettuando una richiesta HTTP con cURL, dovrai passare l'autenticazione come token bearer in un'intestazione di richiesta di autorizzazione HTTP. Per ottenere un token di accesso utilizzando il tuo account di servizio:

  1. Installa Google Cloud CLI.
  2. Esegui l'autenticazione nel tuo account di servizio, sostituendo [KEY_FILE] di seguito con il percorso del file della chiave dell'account di servizio:
    gcloud auth activate-service-account --key-file [KEY_FILE]
  3. Richiedi un token di autorizzazione utilizzando il service account:
    gcloud auth print-access-token
    Il comando restituisce un valore del token di accesso.
  4. Quando chiami l'API, passa il valore del token come token bearer in un'intestazione Authorization:
    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer [ACCESS_TOKEN]' \
      'https://dlp.googleapis.com/v2/infoTypes'

Credenziali predefinite dell'applicazione

Se utilizzi una libreria client per chiamare l'API DLP, utilizza le credenziali predefinite per l'applicazione (ADC).

I servizi che utilizzano l'ADC cercano le credenziali all'interno di una variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS. A meno che non voglia specificamente che ADC utilizzi altre credenziali (ad esempio le credenziali utente), imposta questa variabile di ambiente in modo che punti al file della chiave dell'account di servizio.

export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]

Utilizzo della protezione dei dati sensibili dalle VM Compute Engine

Per accedere all'API DLP dalle istanze VM, seleziona Consenti l'accesso completo a tutte le API Cloud nella sezione Identità e accesso API quando crei la VM.