Cloud Data Loss Prevention (Cloud DLP) 现已成为敏感数据保护功能的一部分。API 名称保持不变：Cloud Data Loss Prevention API (DLP API)。如需了解构成敏感数据保护的服务，请参阅敏感数据保护概览。

此页面由 Cloud Translation API 翻译。

Sensitive Data Protection IAM 权限

IAM 权限

常用权限

某些方法没有特定于 Sensitive Data Protection 的权限。而是使用常用权限，因为这些方法可能会导致可计费事件，但不会访问任何受保护的云资源。

触发可计费事件的所有操作（如 projects.content 方法）都需要 parent 中所指定项目的 serviceusage.services.use 权限。roles/editor、roles/owner 和 roles/dlp.user 角色包含所需的权限，您也可以自行定义包含此权限的自定义角色。

此权限可确保您有权对指定的项目进行结算。

服务账号

如需访问 Google Cloud 资源并执行对 Sensitive Data Protection 的调用，Sensitive Data Protection 会使用 Cloud Data Loss Prevention Service Agent 的凭据对其他 API 进行身份验证。服务代理是一种特殊类型的服务账号，可代表您运行内部 Google 流程。该服务代理采用如下电子邮件地址形式：

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

Cloud Data Loss Prevention 服务代理是在第一次需要时创建的。您可以通过调用 InspectContent 提前创建该服务代理：

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

将 PROJECT_ID 替换为项目 ID。

Cloud Data Loss Prevention 服务代理会自动获得检查资源所需的项目常见权限，并列在 Google Cloud 控制台的 IAM 部分中。该服务代理随项目无限期存在；只有在项目被删除时，它才会被删除。Sensitive Data Protection 依赖于此服务代理，因此不应将其移除。

如需详细了解如何在数据分析操作中使用服务账号，请参阅服务代理容器和服务代理。

作业权限

权限名称	说明
`dlp.jobs.create`	创造新作业。
`dlp.jobs.cancel`	取消作业。
`dlp.jobs.delete`	删除作业。
`dlp.jobs.get`	读取作业对象。
`dlp.jobs.list`	列出作业。
`dlp.jobs.hybridInspect`	对混合作业进行混合检查调用。

作业触发器权限

权限名称	说明
`dlp.jobTriggers.create`	创建新的作业触发器。
`dlp.jobTriggers.delete`	删除作业触发器。
`dlp.jobTriggers.get`	读取作业触发器对象。
`dlp.jobTriggers.list`	列出作业触发器。
`dlp.jobTriggers.update`	更新作业触发器。
`dlp.jobTriggers.hybridInspect`	对混合触发器进行混合检查调用。

检查模板权限

权限名称	说明
`dlp.inspectTemplates.create`	创建新的检查模板。
`dlp.inspectTemplates.delete`	删除检查模板。
`dlp.inspectTemplates.get`	读取检查模板对象。
`dlp.inspectTemplates.list`	列出检查模板。
`dlp.inspectTemplates.update`	更新检查模板。

去标识化模板权限

权限名称	说明
`dlp.deidentifyTemplates.create`	创建新的去标识化模板。
`dlp.deidentifyTemplates.delete`	删除去标识化模板。
`dlp.deidentifyTemplates.get`	读取去标识化模板对象。
`dlp.deidentifyTemplates.list`	列出去标识化模板。
`dlp.deidentifyTemplates.update`	更新去标识化模板。

数据配置文件权限

权限名称	说明
`dlp.projectDataProfiles.list`	列出项目数据分析文件。
`dlp.projectDataProfiles.get`	读取项目数据配置文件对象。
`dlp.tableDataProfiles.delete`	删除单个表分析文件及其列分析文件。
`dlp.tableDataProfiles.list`	列出表数据剖析文件。
`dlp.tableDataProfiles.get`	读取表数据配置文件对象。
`dlp.columnDataProfiles.list`	列出列数据剖析文件。
`dlp.columnDataProfiles.get`	读取列数据配置文件对象。
`dlp.fileStoreProfiles.delete`	删除单个文件存储区配置文件。
`dlp.fileStoreProfiles.list`	列出文件存储区数据分析。
`dlp.fileStoreProfiles.get`	读取文件存储区数据分析对象。

估计权限

权限名称	说明
`dlp.estimates.get`	读取估算对象。
`dlp.estimates.list`	列出估算对象。
`dlp.estimates.create`	创建估算对象。
`dlp.estimates.delete`	删除估算对象。
`dlp.estimates.cancel`	取消正在进行的估算。

存储的 infoType 权限

权限名称	说明
`dlp.storedInfoTypes.create`	创建新的存储 infotype。
`dlp.storedInfoTypes.delete`	删除存储的 infotype。
`dlp.storedInfoTypes.get`	读取存储的 infotype。
`dlp.storedInfoTypes.list`	列出存储的 infotype。
`dlp.storedInfoTypes.update`	更新存储的 infotype。

订阅权限

权限名称	说明
`dlp.subscriptions.get`	创建新订阅。
`dlp.subscriptions.list`	列出订阅。
`dlp.subscriptions.create`	创建订阅。
`dlp.subscriptions.cancel`	取消订阅。
`dlp.subscriptions.update`	更新订阅。

图表权限

权限名称	说明
`dlp.charts.get`	获取数据分析信息中心的图表数据。

其他权限

权限名称	说明
`dlp.kms.encrypt`	使用保留在 Cloud KMS 中的加密令牌对内容进行去标识化。