Weitere Informationen finden Sie unter Unterstützte Connectors für Application Integration.
Zugriffssteuerung
Wenn Sie ein Google Cloud-Projekt erstellen, sind Sie der einzige berechtigte Nutzer des Projekts. Standardmäßig haben keine anderen Hauptkonten (Nutzer, Gruppen oder Dienstkonten) Zugriff auf Ihr Projekt oder dessen Ressourcen. Nachdem Sie die Anwendungsintegration in Ihrem Projekt bereitgestellt haben, können Sie neue Hauptberechtigte hinzufügen und die Zugriffssteuerung für Ihre Anwendungsintegrationsressourcen festlegen.
Bei der Anwendungsintegration wird Identity and Access Management (IAM) verwendet, um die Zugriffssteuerung in Ihrem Projekt zu verwalten. Mit IAM können Sie den Zugriff auf Projekt- oder Ressourcenebene verwalten:
- Weisen Sie einem Hauptkonto eine oder mehrere Rollen zu, um Zugriff auf Ressourcen auf Projektebene zu gewähren.
- Wenn Sie Zugriff auf eine bestimmte Ressource gewähren möchten, legen Sie eine IAM-Richtlinie für diese Ressource fest. Die Ressource muss Richtlinien auf Ressourcenebene unterstützen. Die Richtlinie definiert, welche Rollen welchen Hauptkonten zugewiesen werden.
IAM-Rollen
Jedem Hauptkonto in Ihrem Google Cloud-Projekt wird eine Rolle mit bestimmten Berechtigungen zugewiesen. Wenn Sie einem Projekt oder einer Ressource ein Hauptkonto hinzufügen, geben Sie an, welche Rollen Sie dem Hauptkonto zuweisen möchten. Jede IAM-Rolle enthält eine Reihe von Berechtigungen, die es dem Hauptkonto ermöglichen, bestimmte Aktionen für die Ressource auszuführen.
Weitere Informationen zu den verschiedenen Rollentypen in IAM finden Sie unter Informationen zu Rollen.
Informationen zum Zuweisen von Rollen für Hauptkonten finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Application Integration bietet eine Reihe von vordefinierten IAM-Rollen. Mit diesen Rollen können Sie Zugriff auf bestimmte Ressourcen für die Anwendungsintegration gewähren und unerwünschten Zugriff auf andere Google Cloud-Ressourcen verhindern.
Dienstkonten
Dienstkonten sind Google Cloud-Konten, die mit Ihrem Projekt verknüpft sind und in Ihrem Namen Aufgaben oder Vorgänge ausführen können. Rollen und Berechtigungen werden Dienstkonten auf die gleiche Weise wie Hauptkonten mithilfe von IAM zugewiesen. Weitere Informationen zu Dienstkonten und den verschiedenen Arten von Dienstkonten finden Sie unter IAM-Dienstkonten.
Sie müssen einem Dienstkonto die entsprechenden IAM-Rollen zuweisen, damit dieses Dienstkonto auf relevante API-Methoden zugreifen kann. Wenn Sie einem Dienstkonto eine IAM-Rolle zuweisen, wird jeder Integration, an die dieses Dienstkonto angehängt ist, die Autorisierung dieser Rolle erteilt. Wenn für die gewünschte Zugriffsebene keine vordefinierte Rolle vorhanden ist, können Sie benutzerdefinierte Rollen erstellen und zuweisen.
Application Integration verwendet zwei Arten von Dienstkonten:
Nutzerverwaltetes Dienstkonto
Ein nutzerverwaltetes Dienstkonto kann an eine Integration angehängt werden, um Anmeldedaten für die Ausführung der Aufgabe bereitzustellen. Weitere Informationen finden Sie unter Nutzerverwaltete Dienstkonten.
Die für die Integration erteilte Autorisierung ist auf zwei verschiedene Konfigurationen beschränkt: Rollen, die dem angehängten Dienstkonto zugewiesen sind, und den Zugriffsbereichen. Beide Konfigurationen müssen Zugriff gewähren, damit die Integration die Aufgabe ausführen kann.
Ein nutzerverwaltetes Dienstkonto hat die folgende E-Mail-Adresse:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Standarddienstkonto
Neue Google Cloud-Projekte, für die Application Integration bereitgestellt wurde, haben ein Standarddienstkonto für Application Integration mit der folgenden E-Mail-Adresse:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
Das Standarddienstkonto für die Anwendungsintegration wird während der Bereitstellung erstellt und Ihrem Projekt automatisch mit den grundlegenden IAM-Rollen und -Berechtigungen hinzugefügt. Weitere Informationen finden Sie unter Standarddienstkonten.
Informationen zum Zuweisen zusätzlicher Rollen oder Berechtigungen für das Standarddienstkonto finden Sie unter Zugriff gewähren, ändern und widerrufen.
Dienstkonto hinzufügen
Application Integration bietet zwei Möglichkeiten, Ihrer Integration ein Dienstkonto hinzuzufügen:- Wenn Sie die Verwaltung für Ihre Region aktiviert haben, müssen Sie beim Erstellen einer neuen Integration ein Dienstkonto hinzufügen.
- Wenn Sie die Governance nicht aktiviert haben, können Sie optional ein Dienstkonto zu Ihrem Informationen zum Hinzufügen eines Dienstkontos zu einer vorhandenen Integration finden Sie unter Integrationen bearbeiten und ansehen.
Authentifizierungsregel
Wenn für Ihre Integration sowohl ein OAuth 2.0-Profil als auch ein vom Nutzer verwaltetes Dienstkonto konfiguriert ist, wird standardmäßig das OAuth 2.0-Profil zur Authentifizierung verwendet. Wenn weder ein OAuth 2.0-Profil noch ein vom Nutzer verwaltetes Dienstkonto konfiguriert ist, wird das Standarddienstkonto service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com verwendet. Wenn die Aufgabe nicht das Standarddienstkonto verwendet, schlägt die Ausführung fehl.
Autorisierungsregel
Wenn Sie ein Dienstkonto an Ihre Integration anhängen, müssen Sie die Ebene festlegen des Dienstkontos durch die IAM-Rollen, die Sie Zugriff für das Dienstkonto gewähren. Wenn das Dienstkonto keine IAM-Rollen hat, kann über das Dienstkonto nicht auf Ressourcen zugegriffen werden.
Zugriffsbereiche schränken möglicherweise den Zugriff auf die API weiter ein bei der Authentifizierung über OAuth. Sie wirken sich jedoch nicht auf andere Authentifizierungsprotokolle wie gRPC aus.
IAM-Rollen
Sie müssen einem Dienstkonto die entsprechenden IAM-Rollen zuweisen, damit dieses Dienstkonto auf relevante API-Methoden zugreifen kann.
Wenn Sie einem Dienstkonto eine IAM-Rolle zuweisen, erhält jede Integration, die mit diesem Dienstkonto verknüpft ist, die durch diese Rolle gewährte Autorisierung.
Zugriffsbereiche
Zugriffsbereiche sind die bisherige Methode, die Autorisierung für Ihre Integration festzulegen. Sie definieren die standardmäßigen OAuth-Bereiche, die in Anfragen über die gcloud CLI oder die Clientbibliotheken verwendet werden. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs. Für von Nutzern verwaltete Dienstkonten ist der folgende Bereich vordefiniert:
https://www.googleapis.com/auth/cloud-platform