Cloud Data Loss Prevention (Cloud DLP) is now a part of Sensitive Data Protection. The API name remains the same: Cloud Data Loss Prevention API (DLP API). For information about the services that make up Sensitive Data Protection, see Sensitive Data Protection overview.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הרשאות IAM של Sensitive Data Protection

הרשאות IAM

הרשאות נפוצות

לשיטות מסוימות אין הרשאות ספציפיות להגנה על מידע אישי רגיש. במקום זאת, הם משתמשים בשיטות נפוצות, כי השיטות האלה יכולות לגרום לאירועים שחייבים עליהם, אבל הן לא מאפשרות גישה למשאבי ענן מוגנים.

לכל הפעולות שמפעילות אירועים שמחייבים בתשלום, כמו השיטות projects.content, נדרשת ההרשאה serviceusage.services.use בפרויקט שצוין ב-parent. התפקידים roles/editor, ‏roles/owner ו-roles/dlp.user כוללים את ההרשאה הנדרשת, או שאתם יכולים להגדיר תפקידים בהתאמה אישית משלכם שכוללים את ההרשאה הזו.

ההרשאה הזו מבטיחה שיש אפשרות לחייב את הפרויקט שמציינים.

חשבון שירות

כדי לגשת למשאבים ולבצע קריאות ל-Sensitive Data Protection,‏ Sensitive Data Protection משתמש באישורים של Cloud Data Loss Prevention Service Agent כדי לבצע אימות לממשקי API אחרים. Google Cloud סוכן שירות הוא סוג מיוחד של חשבון שירות שמפעיל תהליכים פנימיים של Google בשמכם. אפשר לזהות את סוכן השירות באמצעות כתובת האימייל:

service-PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com

סוכן השירות של מניעת אובדן נתונים בענן נוצר בפעם הראשונה שנדרש. אפשר ליצור אותו מראש על ידי התקשרות למספר InspectContent:

curl --request POST \
  "https://dlp.googleapis.com/v2/projects/PROJECT_ID/locations/us-central1/content:inspect" \
  --header "X-Goog-User-Project: PROJECT_ID" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{"item":{"value":"google@google.com"}}' \
  --compressed

מחליפים את PROJECT_ID במזהה הפרויקט.

לסוכן שירות של מניעת אובדן נתונים בענן מוענקות באופן אוטומטי הרשאות נפוצות בפרויקט שנדרשות לבדיקת משאבים, והוא מופיע בקטע IAM ב Google Cloud מסוף. סוכן השירות קיים ללא הגבלת זמן בפרויקט, והוא נמחק רק כשהפרויקט נמחק. השירות Sensitive Data Protection מסתמך על סוכן השירות הזה, ולכן אסור להסיר אותו.

Google Cloud

מידע נוסף על השימוש בחשבונות שירות בפעולות של יצירת פרופיל נתונים זמין במאמר מאגר סוכני שירות וסוכן שירות.

הרשאות למשרות

שם ההרשאה	תיאור
`dlp.jobs.create`	ליצור משרות חדשות.
`dlp.jobs.cancel`	ביטול משימות.
`dlp.jobs.delete`	מחיקת משרות.
`dlp.jobs.get`	קריאת אובייקטים של משימות.
`dlp.jobs.list`	רשימת משרות.
`dlp.jobs.hybridInspect`	איך מתקשרים למועמדים למשרה היברידית כדי לבדוק אותם.

הרשאות להפעלת משימות

שם ההרשאה	תיאור
`dlp.jobTriggers.create`	ליצור טריגרים חדשים למשימות.
`dlp.jobTriggers.delete`	מחיקת טריגרים של משרות.
`dlp.jobTriggers.get`	קריאת אובייקטים של טריגרים של משימות.
`dlp.jobTriggers.list`	הצגת רשימה של טריגרים של משרות.
`dlp.jobTriggers.update`	עדכון טריגרים של משרות.
`dlp.jobTriggers.hybridInspect`	איך מבצעים קריאת בדיקה היברידית בהדק היברידי

הרשאות בתבנית בדיקה

שם ההרשאה	תיאור
`dlp.inspectTemplates.create`	ליצור תבניות חדשות לבדיקה.
`dlp.inspectTemplates.delete`	מחיקת תבניות של בדיקות.
`dlp.inspectTemplates.get`	קריאת אובייקטים של תבניות בדיקה.
`dlp.inspectTemplates.list`	רשימת תבניות לבדיקה.
`dlp.inspectTemplates.update`	עדכון תבניות בדיקה.

הרשאות לתבנית להסרת פרטי הזיהוי

שם ההרשאה	תיאור
`dlp.deidentifyTemplates.create`	יצירת תבניות חדשות להסרת פרטים מזהים.
`dlp.deidentifyTemplates.delete`	מחיקה של תבניות לביטול הזיהוי.
`dlp.deidentifyTemplates.get`	קריאת אובייקטים של תבנית הסרת פרטים מזהים.
`dlp.deidentifyTemplates.list`	הצגת רשימה של תבניות להסרת פרטי זיהוי.
`dlp.deidentifyTemplates.update`	עדכון תבניות לביטול הזיהוי.

הרשאות לפרופיל נתונים

שם ההרשאה	תיאור
`dlp.projectDataProfiles.list`	הצגת רשימה של פרופילי נתונים של פרויקטים.
`dlp.projectDataProfiles.get`	קריאת אובייקטים של פרופיל נתונים של פרויקט.
`dlp.tableDataProfiles.delete`	מחיקת פרופיל טבלה יחיד ופרופילי העמודות שלו.
`dlp.tableDataProfiles.list`	הצגת פרופילים של נתוני טבלאות.
`dlp.tableDataProfiles.get`	קריאת אובייקטים של פרופיל נתוני טבלה.
`dlp.columnDataProfiles.list`	הצגת פרופילים של נתונים בעמודות.
`dlp.columnDataProfiles.get`	קריאת אובייקטים של פרופיל נתונים של עמודות.
`dlp.fileStoreProfiles.delete`	מחיקת פרופיל אחד של חנות קבצים.
`dlp.fileStoreProfiles.list`	הצגת רשימה של פרופילי נתונים של מאגר קבצים.
`dlp.fileStoreProfiles.get`	קריאת אובייקטים של פרופיל נתונים של מאגר קבצים.

הערכת הרשאות

שם ההרשאה	תיאור
`dlp.estimates.get`	קריאה של אובייקטים של הערכות.
`dlp.estimates.list`	הצגת רשימה של אובייקטים של הערכות.
`dlp.estimates.create`	יוצרים אובייקט של הערכת עלויות.
`dlp.estimates.delete`	מחיקת אובייקט של אומדן.
`dlp.estimates.cancel`	ביטול הערכה מתמשכת.

הרשאות ל-infoType מאוחסן

שם ההרשאה	תיאור
`dlp.storedInfoTypes.create`	יצירת סוגי מידע חדשים שמאוחסנים.
`dlp.storedInfoTypes.delete`	מחיקת סוגי מידע מאוחסנים.
`dlp.storedInfoTypes.get`	קריאת סוגי מידע מאוחסנים.
`dlp.storedInfoTypes.list`	רשימה של סוגי מידע מאוחסנים.
`dlp.storedInfoTypes.update`	עדכון של סוגי מידע מאוחסנים.

הרשאות למינוי

שם ההרשאה	תיאור
`dlp.subscriptions.get`	ליצור מינויים חדשים.
`dlp.subscriptions.list`	הצגת רשימה של מינויים.
`dlp.subscriptions.create`	יצירת מינויים.
`dlp.subscriptions.cancel`	ביטול מינויים.
`dlp.subscriptions.update`	עדכון המינויים.

הרשאות לתרשימים

שם ההרשאה	תיאור
`dlp.charts.get`	קבלת נתוני תרשים ללוח הבקרה של פרופילי הנתונים.

הרשאות שונות

שם ההרשאה	תיאור
`dlp.kms.encrypt`	הסרת פרטים מזהים מתוכן באמצעות טוקנים של הצפנה שנשמרים ב-Cloud KMS.