IAM Conditions memungkinkan Anda menentukan dan menerapkan kontrol akses berbasis atribut bersyarat untuk resource Google Cloud, termasuk resource Integrasi Apigee. Untuk mengetahui informasi selengkapnya tentang IAM Conditions, lihat Ringkasan Kondisi IAM.
Dalam Integrasi Apigee, Anda dapat menerapkan akses bersyarat berdasarkan atribut berikut:
- Atribut tanggal/waktu: Gunakan untuk menetapkan akses sementara (akan segera berakhir), terjadwal, atau berdurasi terbatas ke resource Integrasi Apigee. Misalnya, Anda dapat mengizinkan pengguna mengakses integrasi hingga tanggal yang ditentukan. Untuk informasi selengkapnya, lihat Mengonfigurasi akses sementara.
- Atribut resource: Gunakan untuk mengonfigurasi akses bersyarat berdasarkan nama resource, jenis resource, atau atribut layanan resource. Misalnya, Anda dapat mengizinkan pengguna untuk mengelola integrasi yang dibuat di wilayah tertentu. Untuk mengetahui daftar nilai yang didukung. Untuk informasi selengkapnya, lihat Mengonfigurasi akses berbasis resource.
Menambahkan kondisi IAM
Untuk menambahkan kondisi IAM ke akun utama yang ada (pengguna, grup, atau akun layanan), lakukan langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman IAM.
- Pilih project, folder, atau organisasi Anda.
- Dari daftar akun utama, temukan akun utama yang ingin Anda tambahkan kondisi IAM, lalu klik (Edit akun utama).
Panel Edit access akan muncul.
- Temukan peran yang ingin Anda tambahi kondisi IAM, lalu klik + Tambahkan Kondisi IAM.
- Di panel Add condition, berikan informasi berikut:
- Judul: Masukkan nama untuk kondisi yang akan Anda tambahkan ke peran.
- Deskripsi: (Opsional) Masukkan deskripsi untuk kondisi tersebut.
- Anda dapat menambahkan kondisi menggunakan Pembuat kondisi atau Editor kondisi.
Pembuat kondisi menyediakan antarmuka interaktif untuk memilih jenis kondisi, operator, dan detail lain yang berlaku tentang ekspresi. Editor kondisi menyediakan antarmuka berbasis teks untuk memasukkan ekspresi kondisi secara manual menggunakan sintaksis CEL.
Untuk petunjuk mendetail tentang cara menggunakan Pembuat kondisi atau Editor kondisi, lihat Mengonfigurasi akses berbasis resource.
- Klik Simpan untuk menerapkan kondisi.
Untuk mengetahui informasi tentang atribut resource yang didukung untuk Integrasi Apigee, lihat Nilai atribut resource
- Klik Save lagi dari panel Edit access untuk memperbarui akun utama.
Nilai atribut resource
Tabel berikut mencantumkan nilai yang dapat terdapat dalam atribut jenis resource untuk Integrasi Apigee:
| Nama fasilitas | Jenis resource | Referensi |
|---|---|---|
| Location | SERVICE_ENDPOINT-integrations.googleapis.com/Location
|
Referensi API |
| Integrasi | SERVICE_ENDPOINT-integrations.googleapis.com/Integration
|
Referensi API |
| IntegrationVersion | SERVICE_ENDPOINT-integrations.googleapis.com/IntegrationVersion
|
Referensi API |
| Eksekusi | SERVICE_ENDPOINT-integrations.googleapis.com/Execution
|
Referensi API |
| Penangguhan | SERVICE_ENDPOINT-integrations.googleapis.com/Suspension
|
Referensi API |
| AuthConfig | SERVICE_ENDPOINT-integrations.googleapis.com/AuthConfig
|
Referensi API |
Contoh penggunaan Perilaku IAM untuk Integrasi Apigee
Contoh 1: Membatasi akses ke resource IntegrationVersion di suatu region
Anda dapat menggunakan ekspresi kondisi berikut di Editor kondisi untuk membatasi akses ke resource IntegrationVersion. Membatasi akses termasuk membatasi operasi create, delete, download, get, list, patch, publish, unpublish, dan upload ke versi integrasi di region tersebut.
!resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee/integrations/INTEGRATION_NAME")
Ganti kode berikut:
- PROJECT_ID: ID project Google Cloud Anda.
- LOCATION: Endpoint layanan integrasi. Lihat endpoint layanan Integrasi Apigee.
- INTEGRATION_NAME: Nama integrasi.
Contoh 2: Mengizinkan akses ke resource IntegrationVersion di suatu region
Anda dapat menggunakan ekspresi kondisi berikut di Editor kondisi untuk mengizinkan akses ke resource IntegrationVersion:
resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee/integrations/INTEGRATION_NAME") || resource.type == "cloudresourcemanager.googleapis.com/Project")
Ganti kode berikut:
- PROJECT_ID: ID project Google Cloud Anda.
- LOCATION: Endpoint layanan integrasi. Lihat endpoint layanan Integrasi Apigee.
- INTEGRATION_NAME: Nama integrasi.
Contoh 3: Mengizinkan akses ke resource AuthConfig tertentu
Anda dapat menggunakan ekspresi kondisi berikut di Editor kondisi untuk mengizinkan akses ke resource AuthConfig tertentu:
(resource.name.extract("authConfigs/{end}" == "AUTH_CONFIG_NAME") || resource.type == "integrations.googleapis.com/Location" || resource.type == "cloudresourcemanager.googleapis.com/Project")
Ganti kode berikut:
- AUTH_CONFIG_NAME: Nama jenis autentikasi. Lihat Jenis autentikasi.
Contoh 4: Mengizinkan akses ke resource AuthConfig di suatu region
Anda dapat menggunakan ekspresi kondisi berikut di Editor kondisi untuk mengizinkan akses ke resource AuthConfig:
(resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee") && resource.type == "integrations.googleapis.com/AuthConfig" || resource.type == "integrations.googleapis.com/Location" || resource.type == "cloudresourcemanager.googleapis.com/Project")
Ganti kode berikut:
- PROJECT_ID: ID project Google Cloud Anda.
- LOCATION: Endpoint layanan integrasi. Lihat endpoint layanan Integrasi Apigee.