Informationen zu den unterstützten Connectors für Application Integration.
Zugriffssteuerung
Wenn Sie ein Google Cloud -Projekt erstellen, sind Sie der einzige Hauptbevollmächtigte des Projekts. Standardmäßig haben keine anderen Hauptkonten (Nutzer, Gruppen oder Dienstkonten) Zugriff auf Ihr Projekt oder seine Ressourcen. Nachdem Sie die Anwendungsintegration in Ihrem Projekt bereitgestellt haben, können Sie neue Hauptberechtigte hinzufügen und die Zugriffssteuerung für Ihre Anwendungsintegrationsressourcen festlegen.
Bei der Anwendungsintegration wird Identity and Access Management (IAM) verwendet, um die Zugriffssteuerung in Ihrem Projekt zu verwalten. Mit IAM können Sie den Zugriff auf Projekt- oder Ressourcenebene verwalten:
- Weisen Sie einem Hauptkonto eine oder mehrere Rollen zu, um Zugriff auf Ressourcen auf Projektebene zu gewähren.
- Wenn Sie Zugriff auf eine bestimmte Ressource gewähren möchten, legen Sie für diese Ressource eine IAM-Richtlinie fest. Die Ressource muss Richtlinien auf Ressourcenebene unterstützen. Die Richtlinie definiert, welche Rollen welchen Hauptkonten zugewiesen werden.
IAM-Rollen
Jedem Hauptkonto in Ihrem Google Cloud Projekt wird eine Rolle mit bestimmten Berechtigungen zugewiesen. Wenn Sie einem Projekt oder einer Ressource ein Hauptkonto hinzufügen, geben Sie an, welche Rollen Sie dem Hauptkonto zuweisen möchten. Jede IAM-Rolle enthält eine Reihe von Berechtigungen, die es dem Hauptkonto ermöglichen, bestimmte Aktionen für die Ressource auszuführen.
Weitere Informationen zu den verschiedenen Rollentypen in IAM finden Sie unter Informationen zu Rollen.
Informationen zum Zuweisen von Rollen für Hauptkonten finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Application Integration bietet eine Reihe von vordefinierten IAM-Rollen. Mit diesen Rollen können Sie Zugriff auf bestimmte Ressourcen für die Anwendungsintegration gewähren und unerwünschten Zugriff auf andere Google Cloud-Ressourcen verhindern.
Dienstkonten
Dienstkonten sind Google Cloud Konten, die mit Ihrem Projekt verknüpft sind und Aufgaben oder Vorgänge in Ihrem Namen ausführen können. Rollen und Berechtigungen werden Dienstkonten auf die gleiche Weise wie Hauptkonten mithilfe von IAM zugewiesen. Weitere Informationen zu Dienstkonten und den verschiedenen Arten von Dienstkonten finden Sie unter IAM-Dienstkonten.
Sie müssen einem Dienstkonto die entsprechenden IAM-Rollen zuweisen, um dem Dienstkonto Zugriff auf relevante API-Methoden zu gewähren. Wenn Sie einem Dienstkonto eine IAM-Rolle zuweisen, erhält jede Integration, die mit diesem Dienstkonto verknüpft ist, die durch diese Rolle gewährte Autorisierung. Wenn für die gewünschte Zugriffsebene keine vordefinierte Rolle vorhanden ist, können Sie benutzerdefinierte Rollen erstellen und zuweisen.
Für die Anwendungsintegration werden zwei Arten von Dienstkonten verwendet:
Nutzerverwaltetes Dienstkonto
Ein vom Nutzer verwaltetes Dienstkonto kann an eine Integration angehängt werden, um Anmeldedaten für die Ausführung der Aufgabe bereitzustellen. Weitere Informationen finden Sie unter Vom Nutzer verwaltete Dienstkonten.
Die Autorisierung für die Integration wird durch zwei separate Konfigurationen begrenzt: die Rollen, die dem angehängten Dienstkonto zugewiesen wurden, und die Zugriffsbereiche. Beide Konfigurationen müssen Zugriff gewähren, damit die Integration die Aufgabe ausführen kann.
Ein vom Nutzer verwaltetes Dienstkonto hat die folgende E-Mail-Adresse:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Standarddienstkonto
Neue Google Cloud-Projekte, für die die Anwendungsintegration bereitgestellt wurde, haben ein Standarddienstkonto für die Anwendungsintegration mit der folgenden E-Mail-Adresse:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
Das Standarddienstkonto für die Anwendungsintegration wird während der Bereitstellung erstellt und Ihrem Projekt automatisch mit den grundlegenden IAM-Rollen und -Berechtigungen hinzugefügt. Weitere Informationen finden Sie unter Standard-Dienstkonten.
Informationen zum Zuweisen zusätzlicher Rollen oder Berechtigungen für das Standarddienstkonto finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Dienstkonto hinzufügen
Bei Application Integration gibt es zwei Möglichkeiten, Ihrer Integration ein Dienstkonto hinzuzufügen:- Wenn Sie die Verwaltung für Ihre Region aktiviert haben, müssen Sie beim Erstellen einer neuen Integration ein Dienstkonto hinzufügen.
- Wenn Sie die Governance nicht aktiviert haben, können Sie Ihrer Integration optional ein Dienstkonto hinzufügen. Informationen zum Hinzufügen eines Dienstkontos zu einer vorhandenen Integration finden Sie unter Integrationen bearbeiten und ansehen.
Authentifizierungsregel
Wenn für Ihre Integration sowohl ein OAuth 2.0-Profil als auch ein nutzerverwaltetes Dienstkonto konfiguriert ist, wird standardmäßig das OAuth 2.0-Profil für die Authentifizierung verwendet. Wenn weder ein OAuth 2.0-Profil noch ein nutzerverwaltetes Dienstkonto konfiguriert ist, wird das Standarddienstkonto (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com) verwendet. Wenn für die Aufgabe nicht das Standarddienstkonto verwendet wird, schlägt die Ausführung fehl.
Autorisierungsregel
Wenn Sie Ihrer Integration ein Dienstkonto zuweisen, müssen Sie die Zugriffsebene des Dienstkontos anhand der IAM-Rollen festlegen, die Sie dem Dienstkonto zuweisen. Wenn das Dienstkonto keine IAM-Rollen hat, kann über das Dienstkonto nicht auf Ressourcen zugegriffen werden.
wird mit Zugriffsbereichen bei der Authentifizierung über OAuth möglicherweise der Zugriff auf API-Methoden eingeschränkt. Sie wirken sich jedoch nicht auf andere Authentifizierungsprotokolle wie gRPC aus.
IAM-Rollen
Sie müssen einem Dienstkonto die entsprechenden IAM-Rollen zuweisen, um dem Dienstkonto Zugriff auf relevante API-Methoden zu gewähren.
Wenn Sie einem Dienstkonto eine IAM-Rolle zuweisen, erhält jede Integration, die mit diesem Dienstkonto verknüpft ist, die durch diese Rolle gewährte Autorisierung.
Zugriffsbereiche
Zugriffsbereiche sind die bisherige Methode, die Autorisierung für Ihre Integration festzulegen. Sie definieren die standardmäßigen OAuth-Bereiche, die in Anfragen über die gcloud CLI oder die Clientbibliotheken verwendet werden. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs. Für nutzerverwaltete Dienstkonten ist der Umfang vordefiniert:
https://www.googleapis.com/auth/cloud-platform