Per utilizzarla, devi autenticarti nell'API DLP. L'API DLP può gestire sia le chiavi API sia l'autenticazione. La principale differenza tra questi due metodi è:
- Le chiavi API identificano il progetto chiamante (l'app o il sito) che esegue la chiamata a un'API.
- I token di autenticazione identificano un utente, ovvero la persona, che utilizza il progetto.
Utilizzo di una chiave API per l'accesso non autenticato
Puoi utilizzare una chiave API della console Google Cloud per autenticarti all'API DLP per alcuni metodi, inclusi tutti i metodi projects.content.*
e projects.image.*
.
- Segui le istruzioni per creare una chiave API per il tuo progetto della console Google Cloud.
- Quando effettui una richiesta all'API DLP, passa la chiave come valore
di un parametro
key
. Ad esempio:curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]
È importante proteggere le chiavi API da usi non autorizzati. Per consigli su come procedere, consulta le best practice per l'utilizzo sicuro delle chiavi API.
utilizza un service account
Per utilizzare un account di servizio per l'autenticazione all'API DLP:
- Segui le istruzioni per creare un account di servizio. Seleziona JSON come tipo di chiave e concedi all'utente il ruolo Utente DLP (roles/dlp.user).
Per ulteriori informazioni sull'assegnazione dei ruoli agli account di servizio, consulta Assegnare i ruoli agli account di servizio.
Al termine, la chiave dell'account di servizio viene scaricata nella posizione predefinita del browser.
Successivamente, decidi se fornire l'autenticazione dell'account di servizio come token di trasporto o utilizzando credenziali predefinite dell'applicazione.
Token bearer che utilizzano un account di servizio
Se chiami direttamente l'API DLP, ad esempio effettuando una richiesta HTTP con cURL, dovrai passare l'autenticazione come token bearer in un'intestazione di richiesta di autorizzazione HTTP. Per ottenere un token di accesso utilizzando il tuo account di servizio:
- Installa Google Cloud CLI.
- Esegui l'autenticazione nel tuo account di servizio, sostituendo [KEY_FILE] di seguito con il percorso del file della chiave dell'account di servizio:
gcloud auth activate-service-account --key-file [KEY_FILE]
- Richiedi un token di autorizzazione utilizzando il service account:
Il comando restituisce un valore del token di accesso.gcloud auth print-access-token
- Quando chiami l'API, passa il valore del token come token
bearer
in un'intestazioneAuthorization
:curl -s -H 'Content-Type: application/json' \ -H 'Authorization: Bearer [ACCESS_TOKEN]' \ 'https://dlp.googleapis.com/v2/infoTypes'
Credenziali predefinite dell'applicazione
Se utilizzi una libreria client per chiamare l'API DLP, utilizza le credenziali predefinite per l'applicazione (ADC).
I servizi che utilizzano l'ADC cercano le credenziali all'interno di una variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS
. A meno che non voglia specificamente
che ADC utilizzi altre credenziali (ad esempio le credenziali utente), imposta
questa variabile di ambiente in modo che punti al file della chiave dell'account di servizio.
export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]
Utilizzo della protezione dei dati sensibili dalle VM Compute Engine
Per accedere all'API DLP dalle istanze VM, seleziona Consenti l'accesso completo a tutte le API Cloud nella sezione Identità e accesso API quando crei la VM.