Permisos de IAM de Sensitive Data Protection

Permisos de IAM

Permisos comunes

Algunos métodos no tienen permisos específicos de Protección de datos sensibles. En su lugar, usan algunos comunes, como los métodos que pueden generar eventos facturables, pero no acceder a ningún recurso de nube protegido.

Todas las acciones que activan eventos facturables, como los métodos projects.content, requieren el permiso serviceusage.services.use para el proyecto que se especifica en parent. Las funciones roles/editor, roles/owner y roles/dlp.user contienen el permiso requerido, o puedes definir tus propias funciones personalizadas que contienen este permiso.

Este permiso te asegura la autorización para facturar el proyecto que especificaste.

Cuenta de servicio

Para acceder a los recursos de Google Cloud y ejecutar llamadas a Sensitive Data Protection, Sensitive Data Protection usa las credenciales del agente de servicio de Cloud Data Loss Prevention para autenticarse en otras APIs. Un agente de servicio es un tipo especial de cuenta de servicio que ejecuta procesos internos de Google en tu nombre. El agente de servicio se identifica mediante este correo electrónico:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

El agente de servicio de Cloud Data Loss Prevention se crea la primera vez que es necesario. Puedes crearla con anticipación mediante una llamada a InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Reemplaza PROJECT_ID por el ID del proyecto.

El agente de servicio de Cloud Data Loss Prevention obtiene automáticamente los permisos comunes sobre el proyecto necesarios para inspeccionar recursos y aparece en la sección IAM de la consola de Google Cloud. El agente de servicio existe de manera indefinida con el proyecto y se borra solo cuando se borra el proyecto. Sensitive Data Protection depende de este agente de servicio, por lo que no debes quitarlo.

Para obtener más información sobre cómo se usan las cuentas de servicio en las operaciones de generación de perfiles de datos, consulta Contenedor y agente de servicio.

Permisos de trabajo

Nombre del permiso Descripción
dlp.jobs.create Crea trabajos nuevos.
dlp.jobs.cancel Cancela trabajos.
dlp.jobs.delete Borra trabajos.
dlp.jobs.get Lee objetos de trabajo.
dlp.jobs.list Haz una lista de trabajos.
dlp.jobs.hybridInspect Realiza una llamada de inspección híbrida en un trabajo híbrido.

Permisos de activador de trabajo

Nombre del permiso Descripción
dlp.jobTriggers.create Crea activadores de trabajo nuevos.
dlp.jobTriggers.delete Borra activadores de trabajo.
dlp.jobTriggers.get Lee objetos de activador de trabajo.
dlp.jobTriggers.list Genera una lista de activadores de trabajo.
dlp.jobTriggers.update Actualiza activadores de trabajo.
dlp.jobTriggers.hybridInspect Realiza una llamada de inspección híbrida en un activador híbrido.

Permisos de plantilla de inspección

Nombre del permiso Descripción
dlp.inspectTemplates.create Crea nuevas plantillas de inspección.
dlp.inspectTemplates.delete Borra las plantillas de inspección.
dlp.inspectTemplates.get Lee los objetos de la plantilla de inspección.
dlp.inspectTemplates.list Enumera las plantillas de inspección.
dlp.inspectTemplates.update Actualiza las plantillas de inspección.

Permisos de plantilla de desidentificación

Nombre del permiso Descripción
dlp.deidentifyTemplates.create Crea nuevas plantillas de desidentificación.
dlp.deidentifyTemplates.delete Borra las plantillas de desidentificación.
dlp.deidentifyTemplates.get Lee los objetos de la plantilla de desidentificación.
dlp.deidentifyTemplates.list Genera una lista de las plantillas de desidentificación.
dlp.deidentifyTemplates.update Actualiza las plantillas de desidentificación.

Permisos del perfil de datos

Nombre del permiso Descripción
dlp.projectDataProfiles.list Muestra una lista de los perfiles de datos de proyectos.
dlp.projectDataProfiles.get Lee objetos de perfil de datos de proyectos.
dlp.tableDataProfiles.delete Borrar un solo perfil de tabla y sus perfiles de columna
dlp.tableDataProfiles.list Muestra una lista de los perfiles de datos de tablas.
dlp.tableDataProfiles.get Lee objetos de perfil de datos de la tabla.
dlp.columnDataProfiles.list Enumera los perfiles de datos de columnas.
dlp.columnDataProfiles.get Lee objetos de perfiles de datos de columnas.
dlp.fileStoreProfiles.delete Borra un solo perfil de almacén de archivos.
dlp.fileStoreProfiles.list Muestra una lista de perfiles de datos de almacén de archivos.
dlp.fileStoreProfiles.get Lee objetos de perfiles de datos de almacén de archivos.

Estimación de permisos

Nombre del permiso Descripción
dlp.estimates.get Lee objetos de estimación.
dlp.estimates.list Enumera los objetos de estimación.
dlp.estimates.create Crea un objeto de estimación.
dlp.estimates.delete Borra un objeto de estimación.
dlp.estimates.cancel Cancela una estimación en curso.

Permisos de Infotipos almacenados

Nombre del permiso Descripción
dlp.storedInfoTypes.create Crea infotipos almacenados nuevos.
dlp.storedInfoTypes.delete Borra infotipos almacenados.
dlp.storedInfoTypes.get Lee infotipos almacenados.
dlp.storedInfoTypes.list Haz una lista de los infotipos almacenados.
dlp.storedInfoTypes.update Actualiza los infotipos almacenados.

Permisos de suscripción

Nombre del permiso Descripción
dlp.subscriptions.get Crear suscripciones nuevas
dlp.subscriptions.list Muestra una lista de suscripciones.
dlp.subscriptions.create Crear suscripciones
dlp.subscriptions.cancel Cancelar suscripciones
dlp.subscriptions.update Actualizar suscripciones

Permisos de gráficos

Nombre del permiso Descripción
dlp.charts.get Obtén datos de gráficos para el panel de perfiles de datos.

Permisos varios

Nombre del permiso Descripción
dlp.kms.encrypt Desidentifica el contenido con tokens de encriptación persistentes en Cloud KMS.