Le condizioni IAM consentono di definire e applicare forzatamente il controllo dell'accesso condizionale basato su attributi per le risorse Google Cloud, incluse le risorse di Apigee Integration. Per saperne di più sulle condizioni IAM, consulta la Panoramica delle condizioni IAM.
In Apigee Integration, puoi applicare l'accesso condizionale in base ai seguenti attributi:
- Attributi data/ora: utilizzali per impostare un accesso temporaneo (in scadenza), pianificato o di durata limitata alle risorse di Apigee Integration. Ad esempio, puoi consentire a un utente di accedere a un'integrazione fino a una data specificata. Per ulteriori informazioni, vedi Configurare l'accesso temporaneo.
- Attributi delle risorse: consentono di configurare l'accesso condizionale in base a un nome, un tipo di risorsa o attributi di servizio della risorsa. Ad esempio, puoi consentire a un utente di gestire le integrazioni create in una regione specifica. Per un elenco dei valori supportati. Per ulteriori informazioni, consulta Configurazione dell'accesso basato sulle risorse.
Aggiungi condizione IAM
Per aggiungere una condizione IAM a un'entità esistente (utente, gruppo o account di servizio):
- Nella console Google Cloud, vai alla pagina IAM.
- Seleziona il progetto, la cartella o l'organizzazione.
- Nell'elenco delle entità, trova quella per cui vuoi aggiungere la condizione IAM e fai clic su (Modifica entità).
Viene visualizzato il riquadro Modifica accesso.
- Trova il ruolo a cui vuoi aggiungere la condizione IAM e fai clic su + Aggiungi condizione IAM.
- Nel riquadro Aggiungi condizione, fornisci le seguenti informazioni:
- Titolo: inserisci un nome per la condizione da aggiungere al ruolo.
- (Facoltativo) Descrizione:inserisci una descrizione della condizione.
- Puoi aggiungere una condizione utilizzando lo Strumento per la creazione di condizioni o l'Editor condizioni.
Lo Strumento per la creazione di condizioni fornisce un'interfaccia interattiva per selezionare il tipo di condizione, l'operatore e altri dettagli applicabili all'espressione. L'editor condizioni fornisce un'interfaccia basata su testo per inserire manualmente un'espressione di condizione utilizzando la sintassi CEL.
Per istruzioni dettagliate su come utilizzare lo strumento per la creazione delle condizioni o l'editor delle condizioni , consulta Configurare l'accesso basato sulle risorse.
- Fai clic su Salva per applicare la condizione.
Per informazioni sugli attributi delle risorse supportati per l'Apigee Integration, consulta Valori degli attributi delle risorse
- Fai di nuovo clic su Salva nel riquadro Modifica accesso per aggiornare l'entità.
Valori degli attributi delle risorse
Nella tabella seguente sono elencati i valori che l'attributo del tipo di risorsa può contenere per l'Apigee Integration:
| Nome della risorsa | Tipo di risorsa | Riferimento |
|---|---|---|
| Località | SERVICE_ENDPOINT-integrations.googleapis.com/Location
|
Riferimento API |
| Integrazione | SERVICE_ENDPOINT-integrations.googleapis.com/Integration
|
Riferimento API |
| IntegrationVersion | SERVICE_ENDPOINT-integrations.googleapis.com/IntegrationVersion
|
Riferimento API |
| Esecuzione | SERVICE_ENDPOINT-integrations.googleapis.com/Execution
|
Riferimento API |
| Suspension | SERVICE_ENDPOINT-integrations.googleapis.com/Suspension
|
Riferimento API |
| AuthConfig | SERVICE_ENDPOINT-integrations.googleapis.com/AuthConfig
|
Riferimento API |
Esempi di utilizzo delle condizioni IAM per l'Apigee Integration
Esempio 1: limita l'accesso a qualsiasi risorsa IntegrationVersion in una regione
Puoi utilizzare la seguente espressione della condizione nell'editor delle condizioni per limitare l'accesso alla risorsa IntegrationVersion. La limitazione dell'accesso include la limitazione delle operazioni di create, delete, download, get, list, patch, publish, unpublish e upload alle versioni dell'integrazione nella regione.
!resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee/integrations/INTEGRATION_NAME")
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto Google Cloud.
- LOCATION: l'endpoint del servizio di integrazione. Consulta Endpoint del servizio di integrazione Apigee.
- INTEGRATION_NAME: nome dell'integrazione.
Esempio 2: consenti l'accesso a qualsiasi risorsa IntegrationVersion in una regione
Puoi utilizzare la seguente espressione della condizione nell'editor delle condizioni per consentire l'accesso alla risorsa IntegrationVersion:
resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee/integrations/INTEGRATION_NAME") || resource.type == "cloudresourcemanager.googleapis.com/Project")
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto Google Cloud.
- LOCATION: l'endpoint del servizio di integrazione. Consulta Endpoint del servizio di integrazione Apigee.
- INTEGRATION_NAME: nome dell'integrazione.
Esempio 3: consenti l'accesso a una risorsa AuthConfig specifica
Puoi utilizzare la seguente espressione di condizione nell'editor delle condizioni per consentire l'accesso a una risorsa AuthConfig specifica:
(resource.name.extract("authConfigs/{end}" == "AUTH_CONFIG_NAME") || resource.type == "integrations.googleapis.com/Location" || resource.type == "cloudresourcemanager.googleapis.com/Project")
Sostituisci quanto segue:
- AUTH_CONFIG_NAME: il nome del tipo di autenticazione. Vedi Tipi di autenticazione.
Esempio 4: consenti l'accesso a qualsiasi risorsa AuthConfig in una regione
Puoi utilizzare la seguente espressione di condizione nell'editor delle condizioni per consentire l'accesso a qualsiasi risorsa AuthConfig:
(resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/products/apigee") && resource.type == "integrations.googleapis.com/AuthConfig" || resource.type == "integrations.googleapis.com/Location" || resource.type == "cloudresourcemanager.googleapis.com/Project")
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto Google Cloud.
- LOCATION: l'endpoint del servizio di integrazione. Consulta Endpoint del servizio di integrazione Apigee.