Autorizzazioni IAM di Sensitive Data Protection

Autorizzazioni IAM

Autorizzazioni comuni

Alcuni metodi non dispongono di autorizzazioni specifiche per la Protezione dei dati sensibili. Al contrario, utilizzano quelli comuni, poiché i metodi possono causare eventi fatturabili, ma non accedono a risorse cloud protette.

Tutte le azioni che attivano eventi fatturabili, come i metodi projects.content, richiedono l'autorizzazione serviceusage.services.use per il progetto specificato in parent. I ruoli roles/editor, roles/owner e roles/dlp.user contengono l'autorizzazione richiesta oppure puoi definire i tuoi ruoli personalizzati contenenti questa autorizzazione.

Questa autorizzazione garantisce che tu abbia l'autorizzazione per fatturare il progetto specificato.

Service account

Per accedere a entrambe le Google Cloud risorse ed eseguire chiamate a Sensitive Data Protection, Sensitive Data Protection utilizza le credenziali dell'agente di servizio Cloud Data Loss Prevention per autenticarsi in altre API. Un agente di servizio è un tipo speciale di account di servizio che esegue processi interni di Google per tuo conto. L'agente di servizio è identificabile tramite l'email:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

L'agente di servizio Cloud Data Loss Prevention viene creato la prima volta che è necessario. Puoi crearlo in anticipo chiamando InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

Sostituisci PROJECT_ID con l'ID progetto.

All'agente di servizio Cloud Data Loss Prevention vengono concesse automaticamente le autorizzazioni comuni sul progetto necessarie per ispezionare le risorse ed è elencato nella sezione IAM della console Google Cloud. L'agente di servizio esiste indefinitamente con il progetto e viene eliminato solo quando viene eliminato il progetto. Sensitive Data Protection si basa su questo agente di servizio, pertanto non devi rimuoverlo.

Per ulteriori informazioni su come vengono utilizzati gli account di servizio nelle operazioni di profiling dei dati, consulta Container dell'agente di servizio e agente di servizio.

Autorizzazioni per i job

Nome autorizzazione Descrizione
dlp.jobs.create Creare nuovi job.
dlp.jobs.cancel Annullare i job.
dlp.jobs.delete Eliminare i job.
dlp.jobs.get Legge gli oggetti job.
dlp.jobs.list Elenca i job.
dlp.jobs.hybridInspect Esegui una chiamata di ispezione ibrida su un job ibrido.

Autorizzazioni per gli attivatori di job

Nome autorizzazione Descrizione
dlp.jobTriggers.create Crea nuovi trigger di job.
dlp.jobTriggers.delete Elimina gli attivatori dei job.
dlp.jobTriggers.get Legge gli oggetti trigger dei job.
dlp.jobTriggers.list Elenca gli attivatori di job.
dlp.jobTriggers.update Aggiorna i trigger dei job.
dlp.jobTriggers.hybridInspect Esegui una chiamata di ispezione ibrida su un attivatore ibrido.

Autorizzazioni dei modelli di ispezione

Nome autorizzazione Descrizione
dlp.inspectTemplates.create Crea nuovi modelli di ispezione.
dlp.inspectTemplates.delete Elimina i modelli di ispezione.
dlp.inspectTemplates.get Legge gli oggetti del modello di ispezione.
dlp.inspectTemplates.list Elenca i modelli di ispezione.
dlp.inspectTemplates.update Aggiorna i modelli di ispezione.

Autorizzazioni dei modelli di anonimizzazione

Nome autorizzazione Descrizione
dlp.deidentifyTemplates.create Crea nuovi modelli di anonimizzazione.
dlp.deidentifyTemplates.delete Elimina i modelli di anonimizzazione.
dlp.deidentifyTemplates.get Legge gli oggetti del modello di anonimizzazione.
dlp.deidentifyTemplates.list Elenca i modelli di anonimizzazione.
dlp.deidentifyTemplates.update Aggiorna i modelli di anonimizzazione.

Autorizzazioni del profilo dati

Nome autorizzazione Descrizione
dlp.projectDataProfiles.list Elenca i profili dei dati del progetto.
dlp.projectDataProfiles.get Legge gli oggetti del profilo dei dati del progetto.
dlp.tableDataProfiles.delete Elimina un singolo profilo tabella e i relativi profili colonna.
dlp.tableDataProfiles.list Elenca i profili dei dati della tabella.
dlp.tableDataProfiles.get Legge gli oggetti del profilo dati tabella.
dlp.columnDataProfiles.list Elenca i profili dei dati delle colonne.
dlp.columnDataProfiles.get Legge gli oggetti del profilo dei dati delle colonne.
dlp.fileStoreProfiles.delete Eliminare un singolo profilo del repository.
dlp.fileStoreProfiles.list Elenca i profili dati dell'archivio file.
dlp.fileStoreProfiles.get Legge gli oggetti del profilo dati dell'archivio file.

Stima delle autorizzazioni

Nome autorizzazione Descrizione
dlp.estimates.get Leggi gli oggetti di stima.
dlp.estimates.list Elenca gli oggetti di stima.
dlp.estimates.create Crea un oggetto stima.
dlp.estimates.delete Elimina un oggetto stima.
dlp.estimates.cancel Annullare una stima in corso.

Autorizzazioni infoType archiviate

Nome autorizzazione Descrizione
dlp.storedInfoTypes.create Crea nuovi tipi di informazioni archiviati.
dlp.storedInfoTypes.delete Elimina gli infotype archiviati.
dlp.storedInfoTypes.get Legge gli infoType archiviati.
dlp.storedInfoTypes.list Elenca gli infoType archiviati.
dlp.storedInfoTypes.update Aggiorna gli infoType archiviati.

Autorizzazioni di abbonamento

Nome autorizzazione Descrizione
dlp.subscriptions.get Creare nuovi abbonamenti.
dlp.subscriptions.list Elenca le iscrizioni.
dlp.subscriptions.create Creare abbonamenti.
dlp.subscriptions.cancel Annullare gli abbonamenti.
dlp.subscriptions.update Aggiorna gli abbonamenti.

Autorizzazioni per i grafici

Nome autorizzazione Descrizione
dlp.charts.get Visualizza i dati del grafico per la dashboard dei profili di dati.

Autorizzazioni varie

Nome autorizzazione Descrizione
dlp.kms.encrypt Anonima i contenuti utilizzando token di crittografia persistenti in Cloud KMS.