Informationen zu den unterstützten Connectors für Application Integration.
IAM-Bedingungen hinzufügen
Mit Bedingungen für Identity and Access Management (IAM) können Sie eine bedingte, attributbasierte Zugriffssteuerung für Google Cloud-Ressourcen, einschließlich Application Integration-Ressourcen, definieren und erzwingen. Weitere Informationen zu IAM Conditions finden Sie in der Übersicht über IAM Conditions.
In Application Integration können Sie den bedingten Zugriff anhand der folgenden Attribute erzwingen:
- Attribute für Datum und Uhrzeit:Hiermit können Sie vorübergehenden (ablaufenden), geplanten oder zeitlich begrenzten Zugriff auf Application Integration-Ressourcen gewähren. Beispielsweise können Sie einem Nutzer bis zu einem bestimmten Datum Zugriff auf eine Integration gewähren. Weitere Informationen finden Sie unter Temporären Zugriff konfigurieren.
- Ressourcenattribute: Verwenden Sie diese Option, um den bedingten Zugriff basierend auf einem Ressourcennamen, einem Ressourcentyp oder Ressourcendienstattributen zu konfigurieren. Beispielsweise können Sie einem Nutzer die Verwaltung von Integrationen erlauben, die in einer bestimmten Region erstellt werden. Eine Liste der unterstützten Werte. Weitere Informationen finden Sie unter Ressourcenbasierten Zugriff konfigurieren.
IAM-Bedingung hinzufügen
Führen Sie die folgenden Schritte aus, um einem vorhandenen Hauptkonto (Nutzer, Gruppe oder Dienstkonto) eine IAM-Bedingung hinzuzufügen:
- Öffnen Sie in der Google Cloud Console die Seite IAM.
- Wählen Sie Ihr Projekt, Ihren Ordner oder Ihre Organisation aus.
- Suchen Sie in der Liste der Hauptkonten nach dem Hauptkonto, für das Sie die IAM-Bedingung hinzufügen möchten, und klicken Sie auf (Hauptkonto bearbeiten).
Der Bereich Zugriff bearbeiten wird angezeigt.
- Suchen Sie die Rolle, der Sie die IAM-Bedingung hinzufügen möchten, und klicken Sie auf + IAM-Bedingung hinzufügen.
- Geben Sie im Bereich Bedingung hinzufügen die folgenden Informationen an:
- Titel: Geben Sie einen Namen für die Bedingung ein, die Sie der Rolle hinzufügen.
- Beschreibung: (Optional) Geben Sie eine Beschreibung für die Bedingung ein.
- Sie können eine Bedingung mit dem Tool zur Bedingungserstellung oder dem Bedingungseditor hinzufügen.
Der Builder für IAM-Bedingungen bietet eine interaktive Oberfläche, in der Sie die gewünschte Bedingung, den Operator und andere anwendbare Details zum Ausdruck auswählen können. Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Bedingungsausdrucks mit der CEL-Syntax.
Eine ausführliche Anleitung zur Verwendung des Builder für IAM-Bedingungen oder des Bedingungseditors finden Sie unter Ressourcenbasierten Zugriff konfigurieren.
- Klicken Sie auf Speichern, um die Bedingung anzuwenden.
Informationen zu den unterstützten Ressourcenattributen für Application Integration finden Sie unter Ressourcenattributwerte.
- Klicken Sie im Bereich Zugriff bearbeiten noch einmal auf Speichern, um das Hauptkonto zu aktualisieren.
Ressourcenattributwerte
In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut „Ressourcentyp“ für Application Integration enthalten kann:
| Ressourcenname | Ressourcentyp | Referenz |
|---|---|---|
| Standort | integrations.googleapis.com/Location
|
API-Referenz |
| Integration | integrations.googleapis.com/Integration
|
API-Referenz |
| IntegrationVersion | integrations.googleapis.com/IntegrationVersion
|
API-Referenz |
| Umsetzung | integrations.googleapis.com/Execution
|
API-Referenz |
| Sperrung | integrations.googleapis.com/Suspension
|
API-Referenz |
| AuthConfig | integrations.googleapis.com/AuthConfig
|
API-Referenz |
Beispiele für die Verwendung von IAM-Bedingungen für Application Integration
Beispiel 1: Zugriff auf eine IntegrationVersion-Ressource in einer Region beschränken
Sie können den folgenden Bedingungsausdruck im Bedingungseditor verwenden, um den Zugriff auf die Ressource IntegrationVersion zu beschränken. Das Beschränken des Zugriffs umfasst das Einschränken von create-, delete-, download-, get-, list-, patch-, publish-, unpublish- und upload-Vorgängen in den Integrationsversionen in der Region.
(resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/integrations/INTEGRATION_NAME")) ||
resource.type == "integrations.googleapis.com/Location" ||resource.type == "cloudresourcemanager.googleapis.com/Project"
Ersetzen Sie Folgendes:
PROJECT_ID: ID Ihres Google Cloud-Projekts.LOCATION: Der Integrationsort. Siehe Standorte von Application Integration.INTEGRATION_NAME: Name der Integration.
Beispiel 2: Zugriff auf jede IntegrationVersion-Ressource in einer Region gewähren
Sie können den folgenden Bedingungsausdruck im Bedingungseditor verwenden, um den Zugriff auf die Ressource IntegrationVersion zuzulassen:
resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/") ||
resource.type == "integrations.googleapis.com/Location" ||
resource.type == "cloudresourcemanager.googleapis.com/Project"
Ersetzen Sie Folgendes:
PROJECT_ID: ID Ihres Google Cloud-Projekts.LOCATION: Der Integrationsort. Eine Liste der unterstützten Standorte finden Sie unter Application Integration-Standorte.