Cloud Data Loss Prevention (Cloud DLP) ahora es parte de Sensitive Data Protection. El nombre de la API sigue siendo el mismo: API de Cloud Data Loss Prevention (API de DLP). Para obtener información sobre los servicios que conforman la protección de datos sensibles, consulta la descripción general de la protección de datos sensibles.

Se usó la API de Cloud Translation para traducir esta página.

Permisos de IAM de Sensitive Data Protection

Permisos de IAM

Permisos comunes

Algunos métodos no tienen permisos específicos de Protección de datos sensibles. En su lugar, usan algunos comunes, como los métodos que pueden generar eventos facturables, pero no acceder a ningún recurso de nube protegido.

Todas las acciones que activan eventos facturables, como los métodos projects.content, requieren el permiso serviceusage.services.use para el proyecto que se especifica en parent. Las funciones roles/editor, roles/owner y roles/dlp.user contienen el permiso requerido, o puedes definir tus propias funciones personalizadas que contienen este permiso.

Este permiso te asegura la autorización para facturar el proyecto que especificaste.

Cuenta de servicio

Para acceder a los recursos de Google Cloud y ejecutar llamadas a Sensitive Data Protection, este servicio usa las credenciales del agente de servicio de Cloud Data Loss Prevention para autenticarse en otras APIs. Un agente de servicio es un tipo especial de cuenta de servicio que ejecuta procesos internos de Google en tu nombre. Se puede identificar al agente de servicio con el siguiente correo electrónico:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

El agente de servicio de Cloud Data Loss Prevention se crea la primera vez que es necesario. Puedes crearla con anticipación llamando a InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Reemplaza PROJECT_ID por el ID del proyecto.

El agente de servicio de Cloud Data Loss Prevention recibe automáticamente permisos comunes en el proyecto que son necesarios para inspeccionar recursos y aparece en la sección de IAM de la consola de Google Cloud . El agente de servicio existe de manera indefinida con el proyecto y solo se borra cuando se borra el proyecto. Sensitive Data Protection depende de este agente de servicio, por lo que no debes quitarlo.

Para obtener más información sobre cómo se usan las cuentas de servicio en las operaciones de generación de perfiles de datos, consulta Contenedor del agente de servicio y agente de servicio.

Permisos de trabajo

Nombre del permiso	Descripción
`dlp.jobs.create`	Crea trabajos nuevos.
`dlp.jobs.cancel`	Cancela trabajos.
`dlp.jobs.delete`	Borra trabajos.
`dlp.jobs.get`	Lee objetos de trabajo.
`dlp.jobs.list`	Haz una lista de trabajos.
`dlp.jobs.hybridInspect`	Realiza una llamada de inspección híbrida en un trabajo híbrido.

Permisos de activador de trabajo

Nombre del permiso	Descripción
`dlp.jobTriggers.create`	Crea activadores de trabajo nuevos.
`dlp.jobTriggers.delete`	Borra activadores de trabajo.
`dlp.jobTriggers.get`	Lee objetos de activador de trabajo.
`dlp.jobTriggers.list`	Genera una lista de activadores de trabajo.
`dlp.jobTriggers.update`	Actualiza activadores de trabajo.
`dlp.jobTriggers.hybridInspect`	Realiza una llamada de inspección híbrida en un activador híbrido.

Permisos de plantilla de inspección

Nombre del permiso	Descripción
`dlp.inspectTemplates.create`	Crea nuevas plantillas de inspección.
`dlp.inspectTemplates.delete`	Borra las plantillas de inspección.
`dlp.inspectTemplates.get`	Lee los objetos de la plantilla de inspección.
`dlp.inspectTemplates.list`	Enumera las plantillas de inspección.
`dlp.inspectTemplates.update`	Actualiza las plantillas de inspección.

Permisos de plantilla de desidentificación

Nombre del permiso	Descripción
`dlp.deidentifyTemplates.create`	Crea nuevas plantillas de desidentificación.
`dlp.deidentifyTemplates.delete`	Borra las plantillas de desidentificación.
`dlp.deidentifyTemplates.get`	Lee los objetos de la plantilla de desidentificación.
`dlp.deidentifyTemplates.list`	Genera una lista de las plantillas de desidentificación.
`dlp.deidentifyTemplates.update`	Actualiza las plantillas de desidentificación.

Permisos del perfil de datos

Nombre del permiso	Descripción
`dlp.projectDataProfiles.list`	Enumera los perfiles de datos del proyecto.
`dlp.projectDataProfiles.get`	Lee objetos de perfil de datos del proyecto.
`dlp.tableDataProfiles.delete`	Borra un solo perfil de tabla y sus perfiles de columna.
`dlp.tableDataProfiles.list`	Enumera los perfiles de datos de tablas.
`dlp.tableDataProfiles.get`	Puede leer objetos de perfil de datos de la tabla.
`dlp.columnDataProfiles.list`	Enumera los perfiles de datos de columnas.
`dlp.columnDataProfiles.get`	Lee objetos de perfil de datos de columnas.
`dlp.fileStoreProfiles.delete`	Borra un solo perfil de la tienda de archivos.
`dlp.fileStoreProfiles.list`	Enumera los perfiles de datos de almacén de archivos.
`dlp.fileStoreProfiles.get`	Puede leer objetos de perfil de datos de almacén de archivos.

Permisos de estimación

Nombre del permiso	Descripción
`dlp.estimates.get`	Lee objetos de estimación.
`dlp.estimates.list`	Enumera los objetos de estimación.
`dlp.estimates.create`	Crea un objeto de estimación.
`dlp.estimates.delete`	Borra un objeto de estimación.
`dlp.estimates.cancel`	Cancela una estimación en curso.

Permisos de Infotipos almacenados

Nombre del permiso	Descripción
`dlp.storedInfoTypes.create`	Crea infotipos almacenados nuevos.
`dlp.storedInfoTypes.delete`	Borra infotipos almacenados.
`dlp.storedInfoTypes.get`	Lee infotipos almacenados.
`dlp.storedInfoTypes.list`	Enumera los infotipos almacenados.
`dlp.storedInfoTypes.update`	Actualiza infotipos almacenados.

Permisos de suscripción

Nombre del permiso	Descripción
`dlp.subscriptions.get`	Crear suscripciones nuevas
`dlp.subscriptions.list`	Enumera las suscripciones.
`dlp.subscriptions.create`	Crear suscripciones
`dlp.subscriptions.cancel`	Cancelar suscripciones
`dlp.subscriptions.update`	Actualizar suscripciones

Permisos de gráficos

Nombre del permiso	Descripción
`dlp.charts.get`	Obtiene los datos del gráfico para el panel de perfiles de datos.

Permisos varios

Nombre del permiso	Descripción
`dlp.kms.encrypt`	Desidentifica el contenido con tokens de encriptación persistentes en Cloud KMS.