Informationen zu den unterstützten Connectors für Application Integration.
Zugriffssteuerung
Wenn Sie ein Google Cloud-Projekt erstellen, sind Sie das einzige Hauptkonto des Projekts. Standardmäßig haben keine anderen Hauptkonten (Nutzer, Gruppen oder Dienstkonten) Zugriff auf Ihr Projekt oder dessen Ressourcen. Nachdem Sie Application Integration in Ihrem Projekt erfolgreich bereitgestellt haben, können Sie neue Hauptkonten hinzufügen und die Zugriffssteuerung für Ihre Application Integration-Ressourcen festlegen.
Application Integration verwendet die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), um die Zugriffssteuerung innerhalb Ihres Projekts zu verwalten. Mit IAM können Sie den Zugriff auf Projekt- oder auf Ressourcenebene verwalten:
- Wenn Sie Zugriff auf Ressourcen auf Projektebene gewähren möchten, weisen Sie einem Hauptkonto eine oder mehrere Rollen zu.
- Wenn Sie Zugriff auf eine bestimmte Ressource gewähren möchten, legen Sie eine IAM-Richtlinie für diese Ressource fest. Die Ressource muss Richtlinien auf Ressourcenebene unterstützen. Die Richtlinie definiert, welche Rollen welchen Hauptkonten zugewiesen werden.
IAM-Rollen
Jedem Hauptkonto in Ihrem Google Cloud-Projekt wird eine Rolle mit bestimmten Berechtigungen gewährt. Wenn Sie einem Projekt oder einer Ressource ein Hauptkonto hinzufügen, geben Sie an, welche Rollen Sie dem Projekt gewähren möchten. Jede IAM-Rolle enthält eine Reihe von Berechtigungen, mit denen das Hauptkonto bestimmte Aktionen für die Ressource ausführen kann.
Weitere Informationen zu den verschiedenen Rollentypen in IAM finden Sie unter Informationen zu Rollen.
Informationen zum Zuweisen von Rollen für Hauptkonten finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Application Integration bietet einen bestimmten Satz vordefinierter IAM-Rollen. Mit diesen Rollen können Sie Zugriff auf bestimmte Application Integration-Ressourcen gewähren und unerwünschten Zugriff auf andere Google Cloud-Ressourcen verhindern.
Dienstkonten
Dienstkonten sind mit Ihrem Projekt verknüpfte Google Cloud-Konten, die in Ihrem Namen Aufgaben oder Vorgänge ausführen können. Dienstkonten werden Rollen und Berechtigungen auf dieselbe Weise wie Hauptkonten über IAM zugewiesen. Weitere Informationen zu Dienstkonten und den verschiedenen Arten von Dienstkonten finden Sie unter IAM-Dienstkonten.
Sie müssen einem Dienstkonto die entsprechenden IAM-Rollen zuweisen, um diesem Dienstkonto Zugriff auf relevante API-Methoden zu gewähren. Wenn Sie einem Dienstkonto eine IAM-Rolle zuweisen, gilt für jede Integration, mit der dieses Dienstkonto verknüpft ist, die Autorisierung durch diese Rolle. Wenn es für die gewünschte Zugriffsebene keine vordefinierte Rolle gibt, können Sie benutzerdefinierte Rollen erstellen und zuweisen.
Application Integration verwendet zwei Arten von Dienstkonten:
Vom Nutzer verwaltetes Dienstkonto
Ein nutzerverwaltetes Dienstkonto kann an eine Integration angehängt werden, um Anmeldedaten zum Ausführen der Aufgabe bereitzustellen. Weitere Informationen finden Sie unter Von Nutzern verwaltete Dienstkonten.
Die für die Integration gewährte Autorisierung ist durch zwei separate Konfigurationen eingeschränkt: die Rollen, die dem angehängten Dienstkonto gewährt wurden, und die Zugriffsbereiche. Beide Konfigurationen müssen den Zugriff erlauben, damit die Aufgabe über die Integration ausgeführt werden kann.
Ein vom Nutzer verwaltetes Dienstkonto hat die folgende E-Mail-Adresse:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Standarddienstkonto
Neue Google Cloud-Projekte, für die Application Integration bereitgestellt wurde, haben ein Standarddienstkonto für Application Integration mit der folgenden E-Mail-Adresse:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
Das Application Integration-Standarddienstkonto wird während der Bereitstellung erstellt und Ihrem Projekt automatisch mit den grundlegenden IAM-Rollen und -Berechtigungen hinzugefügt. Weitere Informationen finden Sie unter Standarddienstkonten.
Informationen zum Gewähren von zusätzlichen Rollen oder Berechtigungen für das Standarddienstkonto finden Sie unter Zugriff gewähren, ändern und widerrufen.
Dienstkonto hinzufügen
Mit Application Integration können Sie Ihrer Integration ein Dienstkonto hinzufügen:- Wenn Sie die Governance für Ihre Region aktiviert haben, müssen Sie beim Erstellen einer neuen Integration ein Dienstkonto hinzufügen.
- Wenn Sie die Governance nicht aktiviert haben, können Sie Ihrer Integration optional ein Dienstkonto hinzufügen. Informationen zum Hinzufügen eines Dienstkontos zu einer vorhandenen Integration finden Sie unter Integrationen bearbeiten und ansehen.
Authentifizierungsregel
Wenn für Ihre Integration sowohl ein OAuth 2.0-Profil als auch ein vom Nutzer verwaltetes Dienstkonto konfiguriert ist, wird standardmäßig das OAuth 2.0-Profil für die Authentifizierung verwendet. Wenn weder ein OAuth 2.0-Profil noch ein vom Nutzer verwaltetes Dienstkonto konfiguriert ist, wird das Standarddienstkonto (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com) verwendet. Wenn die Aufgabe nicht das Standarddienstkonto verwendet, schlägt die Ausführung fehl.
Autorisierungsregel
Wenn Sie ein Dienstkonto an Ihre Integration anhängen, müssen Sie die Zugriffsebene des Dienstkontos anhand der IAM-Rollen bestimmen, die Sie dem Dienstkonto zuweisen. Wenn das Dienstkonto keine IAM-Rollen hat, kann mit dem Dienstkonto auf keine Ressourcen zugegriffen werden.
Durch Zugriffsbereiche kann der Zugriff auf API-Methoden bei der Authentifizierung über OAuth weiter eingeschränkt werden. Sie wirken sich jedoch nicht auf andere Authentifizierungsprotokolle wie gRPC aus.
IAM-Rollen
Sie müssen einem Dienstkonto die entsprechenden IAM-Rollen zuweisen, um diesem Dienstkonto Zugriff auf relevante API-Methoden zu gewähren.
Wenn Sie einem Dienstkonto eine IAM-Rolle zuweisen, gilt für jede Integration, mit der dieses Dienstkonto verknüpft ist, die Autorisierung durch diese Rolle.
Zugriffsbereiche
Zugriffsbereiche sind die Legacy-Methode zum Festlegen der Autorisierung für Ihre Integration. Sie definieren die standardmäßigen OAuth-Bereiche, die in Anfragen über die gcloud CLI oder die Clientbibliotheken verwendet werden. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben, die durch ein einzelnes Leerzeichen („ “) getrennt sind. Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs. Für nutzerverwaltete Dienstkonten ist der Bereich vordefiniert auf den folgenden Bereich:
https://www.googleapis.com/auth/cloud-platform