Cloud Data Loss Prevention (Cloud DLP) ahora forma parte de Protección de Datos Sensibles. El nombre de la API sigue siendo el mismo: API Cloud Data Loss Prevention (API DLP). Para obtener información sobre los servicios que componen Protección de Datos Sensibles, consulta el artículo Información general sobre Protección de Datos Sensibles.

Esta página se ha traducido con Cloud Translation API.

Permisos de IAM de Protección de Datos Sensibles

Permisos de gestión de identidades y accesos

Permisos habituales

Algunos métodos no tienen permisos específicos de Protección de Datos Sensibles. En su lugar, usan los comunes, ya que los métodos pueden provocar eventos facturables, pero no acceden a ningún recurso de nube protegido.

Todas las acciones que activan eventos facturables, como los métodos projects.content, requieren el permiso serviceusage.services.use para el proyecto especificado en parent. Los roles roles/editor, roles/owner y roles/dlp.user contienen el permiso necesario. También puedes definir tus propios roles personalizados que contengan este permiso.

Este permiso asegura que tienes autorización para facturar el proyecto que especifiques.

Cuenta de servicio

Para acceder a ambos recursos y ejecutar llamadas a Protección de Datos Sensibles, esta función usa las credenciales del agente de servicio de Cloud Data Loss Prevention para autenticarse en otras APIs. Google Cloud Un agente de servicio es un tipo especial de cuenta de servicio que ejecuta procesos internos de Google en tu nombre. El agente de servicio se puede identificar mediante el correo:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

El agente de servicio de Cloud Data Loss Prevention se crea la primera vez que es necesario. Puedes crearla con antelación llamando a InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Sustituye PROJECT_ID por el ID del proyecto.

A la cuenta de agente de servicio de Cloud Data Loss Prevention se le conceden automáticamente permisos comunes en el proyecto que se necesitan para inspeccionar los recursos y se muestra en la sección Gestión de identidades y accesos de la Google Cloud consola. El agente de servicio existe indefinidamente con el proyecto y solo se elimina cuando se elimina el proyecto. Protección de Datos Sensibles depende de este agente de servicio, por lo que no debes quitarlo.

Para obtener más información sobre cómo se usan las cuentas de servicio en las operaciones de creación de perfiles de datos, consulta Contenedor y agente de servicio.

Permisos de trabajo

Nombre del permiso	Descripción
`dlp.jobs.create`	Crear tareas.
`dlp.jobs.cancel`	Cancelar tareas.
`dlp.jobs.delete`	Eliminar tareas.
`dlp.jobs.get`	Permiso para leer objetos de tareas.
`dlp.jobs.list`	Mostrar tareas.
`dlp.jobs.hybridInspect`	Hacer una llamada de inspección híbrida en una tarea híbrida.

Permisos de activadores de tareas

Nombre del permiso	Descripción
`dlp.jobTriggers.create`	Crear activadores de tareas.
`dlp.jobTriggers.delete`	Permiso para eliminar activadores de tareas.
`dlp.jobTriggers.get`	Permiso para leer objetos de activadores de tareas.
`dlp.jobTriggers.list`	Permiso para mostrar activadores de tareas.
`dlp.jobTriggers.update`	Permiso para actualizar activadores de tareas.
`dlp.jobTriggers.hybridInspect`	Realiza una llamada de inspección híbrida en un activador híbrido.

Permisos de plantillas de inspección

Nombre del permiso	Descripción
`dlp.inspectTemplates.create`	Crea plantillas de inspección.
`dlp.inspectTemplates.delete`	Eliminar plantillas de inspección.
`dlp.inspectTemplates.get`	Permiso para leer objetos de plantillas de inspección.
`dlp.inspectTemplates.list`	Mostrar plantillas de inspección.
`dlp.inspectTemplates.update`	Actualice las plantillas de inspección.

Permisos de plantillas de desidentificación

Nombre del permiso	Descripción
`dlp.deidentifyTemplates.create`	Crear plantillas de desidentificación.
`dlp.deidentifyTemplates.delete`	Eliminar plantillas de desidentificación.
`dlp.deidentifyTemplates.get`	Permiso para leer objetos de plantillas de desidentificación.
`dlp.deidentifyTemplates.list`	Lista de plantillas de desidentificación.
`dlp.deidentifyTemplates.update`	Actualizar plantillas de desidentificación.

Permisos de perfil de datos

Nombre del permiso	Descripción
`dlp.projectDataProfiles.list`	Muestra los perfiles de datos de un proyecto.
`dlp.projectDataProfiles.get`	Leer objetos de perfil de datos de proyectos.
`dlp.tableDataProfiles.delete`	Eliminar un perfil de tabla y sus perfiles de columna.
`dlp.tableDataProfiles.list`	Muestra los perfiles de datos de las tablas.
`dlp.tableDataProfiles.get`	Permiso para leer objetos de perfil de datos de tabla.
`dlp.columnDataProfiles.list`	Muestra los perfiles de datos de las columnas.
`dlp.columnDataProfiles.get`	Leer objetos de perfil de datos de columna.
`dlp.fileStoreProfiles.delete`	Elimina un solo perfil de almacenamiento de archivos.
`dlp.fileStoreProfiles.list`	Muestra los perfiles de datos de almacenes de archivos.
`dlp.fileStoreProfiles.get`	Permiso para leer objetos de perfil de datos de almacén de archivos.

Estimar permisos

Nombre del permiso	Descripción
`dlp.estimates.get`	Leer objetos de estimación.
`dlp.estimates.list`	Lista los objetos de estimación.
`dlp.estimates.create`	Crea un objeto de estimación.
`dlp.estimates.delete`	Elimina un objeto de estimación.
`dlp.estimates.cancel`	Cancelar una estimación en curso.

Permisos de infoType almacenado

Nombre del permiso	Descripción
`dlp.storedInfoTypes.create`	Crear nuevos infotipos almacenados.
`dlp.storedInfoTypes.delete`	Eliminar infotipos almacenados.
`dlp.storedInfoTypes.get`	Leer infoTypes almacenados.
`dlp.storedInfoTypes.list`	Lista de infoTypes almacenados.
`dlp.storedInfoTypes.update`	Actualizar los infoTypes almacenados.

Permisos de suscripción

Nombre del permiso	Descripción
`dlp.subscriptions.get`	Crea nuevas suscripciones.
`dlp.subscriptions.list`	Mostrar suscripciones.
`dlp.subscriptions.create`	Crea suscripciones.
`dlp.subscriptions.cancel`	Cancelar suscripciones.
`dlp.subscriptions.update`	Actualiza las suscripciones.

Permisos de gráficos

Nombre del permiso	Descripción
`dlp.charts.get`	Obtiene los datos de los gráficos del panel de control de perfiles de datos.

Permisos varios

Nombre del permiso	Descripción
`dlp.kms.encrypt`	Desidentifica el contenido mediante tokens de cifrado conservados en Cloud KMS.