Autorisations IAM de Sensitive Data Protection

Autorisations IAM

Autorisations communes

Certaines méthodes ne disposent pas d'autorisations spécifiques pour la protection des données sensibles. mais utilisent plutôt des autorisations communes. Ces méthodes peuvent ainsi déclencher des événements facturables. Cependant, elles n'accèdent à aucune ressource cloud protégée.

Toutes les actions qui déclenchent des événements facturables, telles que les méthodes projects.content, nécessitent l'autorisation serviceusage.services.use pour le projet spécifié dans parent. Les rôles roles/editor, roles/owner et roles/dlp.user disposent de cette autorisation, mais vous pouvez définir vos propres rôles personnalisés avec cette autorisation.

Cette autorisation vous permet de facturer le projet que vous spécifiez.

Compte de service

Pour accéder aux ressources Google Cloud et exécuter des appels vers Sensitive Data Protection, Sensitive Data Protection s'authentifie auprès d'autres API à l'aide des identifiants de l'agent de service Cloud Data Loss Prevention. Un agent de service est un type de compte de service particulier qui exécute des processus Google internes en votre nom. L'agent de service peut être identifié à l'aide de l'adresse e-mail :

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

L'agent de service Cloud Data Loss Prevention est créé la première fois qu'il est nécessaire. Vous pouvez le créer à l'avance en appelant la méthode InspectContent :

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Remplacez PROJECT_ID par l'ID du projet.

L'agent de service Cloud Data Loss Prevention dispose automatiquement des autorisations communes sur le projet requises pour l'inspection des ressources. Il est répertorié dans la section IAM de Google Cloud Console. L'agent de service existe indéfiniment avec le projet et n'est supprimé que lorsque ce dernier est supprimé. La protection des données sensibles repose sur cet agent de service. Vous ne devez donc pas le supprimer.

Pour en savoir plus sur l'utilisation des comptes de service dans les opérations de profilage des données, consultez la section Conteneur et agent de service.

Autorisations relatives aux tâches

Nom de l'autorisation Description
dlp.jobs.create Créer des tâches
dlp.jobs.cancel Annuler des tâches
dlp.jobs.delete Supprimer des tâches
dlp.jobs.get Consulter les objets de tâches
dlp.jobs.list Répertorier les tâches
dlp.jobs.hybridInspect Effectuer un appel d'inspection hybride sur une tâche hybride

Autorisations relatives aux déclencheurs de tâches

Nom de l'autorisation Description
dlp.jobTriggers.create Créer des déclencheurs de tâches
dlp.jobTriggers.delete Supprimer des déclencheurs de tâches
dlp.jobTriggers.get Consulter les objets de déclencheurs de tâches
dlp.jobTriggers.list Répertorier les déclencheurs de tâches
dlp.jobTriggers.update Mettre à jour des déclencheurs de tâches
dlp.jobTriggers.hybridInspect Effectuer un appel d'inspection hybride sur un déclencheur hybride

Autorisations liées aux modèles d'inspection

Nom de l'autorisation Description
dlp.inspectTemplates.create Créer des modèles d'inspection
dlp.inspectTemplates.delete Supprimer des modèles d'inspection
dlp.inspectTemplates.get Consulter les objets de modèles d'inspection
dlp.inspectTemplates.list Répertorier les modèles d'inspection
dlp.inspectTemplates.update Mettre à jour des modèles d'inspection

Autorisations liées aux modèles d'anonymisation

Nom de l'autorisation Description
dlp.deidentifyTemplates.create Créer des modèles d'anonymisation
dlp.deidentifyTemplates.delete Supprimer des modèles d'anonymisation
dlp.deidentifyTemplates.get Consulter les objets de modèles d'anonymisation
dlp.deidentifyTemplates.list Répertorier les modèles d'anonymisation
dlp.deidentifyTemplates.update Mettre à jour des modèles d'anonymisation

Autorisations liées aux profils de données

Nom de l'autorisation Description
dlp.projectDataProfiles.list Répertorier les profils de données de projet
dlp.projectDataProfiles.get Consulter les objets de profils de données de projet
dlp.tableDataProfiles.delete Supprimez un seul profil de table et ses profils de colonne.
dlp.tableDataProfiles.list Répertorier les profils de données de table
dlp.tableDataProfiles.get Consulter les objets de profils de données de table
dlp.columnDataProfiles.list Répertorier les profils de données de colonne
dlp.columnDataProfiles.get Consulter les objets de profils de données de colonne
dlp.fileStoreProfiles.delete Supprimer un seul profil de datastore
dlp.fileStoreProfiles.list Répertorier les profils de données du magasin de fichiers
dlp.fileStoreProfiles.get Lire les objets de profils de données du magasin de fichiers

Estimer les autorisations

Nom de l'autorisation Description
dlp.estimates.get Consulter les objets d'estimation
dlp.estimates.list Répertorier les objets d'estimation
dlp.estimates.create Créer un objet d'estimation
dlp.estimates.delete Supprimer un objet d'estimation
dlp.estimates.cancel Annuler une estimation en cours

Autorisations liées aux infoTypes stockés

Nom de l'autorisation Description
dlp.storedInfoTypes.create Créer des infoTypes stockés
dlp.storedInfoTypes.delete Supprimer des infoTypes stockés
dlp.storedInfoTypes.get Consulter des infoTypes stockés
dlp.storedInfoTypes.list Répertorier les infoTypes stockés
dlp.storedInfoTypes.update Mettre à jour des infoTypes stockés

Autorisations d'abonnement

Nom de l'autorisation Description
dlp.subscriptions.get Créer des abonnements
dlp.subscriptions.list Répertoriez les abonnements.
dlp.subscriptions.create Créez des abonnements.
dlp.subscriptions.cancel Annuler les abonnements
dlp.subscriptions.update Mettre à jour les abonnements.

Autorisations de graphiques

Nom de l'autorisation Description
dlp.charts.get Obtenir les données du graphique pour le tableau de bord des profils de données

Autorisations diverses

Nom de l'autorisation Description
dlp.kms.encrypt Anonymiser le contenu à l'aide de jetons de chiffrement persistants dans Cloud KMS