Informationen zu den unterstützten Connectors für Application Integration.
IAM-Bedingungen hinzufügen
Mit IAM-Bedingungen (Identity and Access Management) können Sie eine bedingte, attributbasierte Zugriffssteuerung für Google Cloud-Ressourcen einschließlich Application Integration-Ressourcen definieren und erzwingen. Weitere Informationen zu IAM Conditions finden Sie in der Übersicht über IAM Conditions.
In der Anwendungsintegration können Sie den bedingten Zugriff anhand der folgenden Attribute erzwingen:
- Datum/Uhrzeit-Attribute: Verwenden Sie diese Option, um den temporären (ablaufenden), geplanten oder zeitlich begrenzten Zugriff auf Application Integration-Ressourcen festzulegen. Beispielsweise können Sie einem Nutzer bis zu einem bestimmten Datum Zugriff auf eine Integration gewähren. Weitere Informationen finden Sie unter Temporären Zugriff konfigurieren.
- Ressourcenattribute: Verwenden Sie diese Option, um den bedingten Zugriff basierend auf einem Ressourcennamen, einem Ressourcentyp oder Ressourcendienstattributen zu konfigurieren. Beispielsweise können Sie einem Nutzer die Verwaltung von Integrationen erlauben, die in einer bestimmten Region erstellt werden. Eine Liste der unterstützten Werte. Weitere Informationen finden Sie unter Ressourcenbasierten Zugriff konfigurieren.
IAM-Bedingung hinzufügen
Führen Sie die folgenden Schritte aus, um einem vorhandenen Hauptkonto (Nutzer, Gruppe oder Dienstkonto) eine IAM-Bedingung hinzuzufügen:
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Wählen Sie Ihr Projekt, Ihren Ordner oder Ihre Organisation aus.
- Suchen Sie in der Liste der Hauptkonten nach dem Hauptkonto, für das Sie die IAM-Bedingung hinzufügen möchten, und klicken Sie auf
Der Bereich Zugriff bearbeiten wird angezeigt.
(Hauptkonto bearbeiten).
- Suchen Sie die Rolle, der Sie die IAM-Bedingung hinzufügen möchten, und klicken Sie auf + IAM-Bedingung hinzufügen.
- Geben Sie im Bereich Bedingung hinzufügen die folgenden Informationen an:
- Titel: Geben Sie einen Namen für die Bedingung ein, die Sie der Rolle hinzufügen.
- Beschreibung: (Optional) Geben Sie eine Beschreibung für die Bedingung ein.
- Sie können einen Bedingungsausdruck entweder mit dem Builder für IAM-Bedingungen oder dem Bedingungseditor hinzufügen.
Der Builder für IAM-Bedingungen bietet eine interaktive Oberfläche, in der Sie die gewünschte Bedingung, den Operator und andere anwendbare Details zum Ausdruck auswählen können. Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Bedingungsausdrucks mit der CEL-Syntax.
Eine ausführliche Anleitung zur Verwendung des Builder für IAM-Bedingungen oder des Bedingungseditors finden Sie unter Ressourcenbasierten Zugriff konfigurieren.
- Klicken Sie auf Speichern, um die Bedingung anzuwenden.
Informationen zu den unterstützten Ressourcenattributen für die Anwendungsintegration finden Sie unter Werte von Ressourcenattributen.
- Klicken Sie im Bereich Zugriff bearbeiten noch einmal auf Speichern, um das Hauptkonto zu aktualisieren.
Ressourcenattributwerte
In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut „Ressourcentyp“ für die Anwendungsintegration enthalten kann:
Ressourcenname | Ressourcentyp | Referenz |
---|---|---|
Standort | integrations.googleapis.com/Location
|
API-Referenz |
Integration | integrations.googleapis.com/Integration
|
API-Referenz |
IntegrationVersion | integrations.googleapis.com/IntegrationVersion
|
API-Referenz |
Umsetzung | integrations.googleapis.com/Execution
|
API-Referenz |
Sperrung | integrations.googleapis.com/Suspension
|
API-Referenz |
AuthConfig | integrations.googleapis.com/AuthConfig
|
API-Referenz |
Beispiele für die Verwendung von IAM-Bedingungen für die Anwendungsintegration
Beispiel 1: Zugriff auf eine IntegrationVersion-Ressource in einer Region beschränken
Mit dem folgenden Bedingungsausdruck im Bedingungseditor können Sie den Zugriff auf die Ressource IntegrationVersion
beschränken. Das Beschränken des Zugriffs umfasst das Einschränken von create
-, delete
-, download
-, get
-, list
-, patch
-, publish
-, unpublish
- und upload
-Vorgängen in den Integrationsversionen in der Region.
(resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/integrations/INTEGRATION_NAME")) || resource.type == "integrations.googleapis.com/Location" ||resource.type == "cloudresourcemanager.googleapis.com/Project"
Ersetzen Sie Folgendes:
PROJECT_ID
: Die ID Ihres Google Cloud Projekts.LOCATION
: Der Integrationsort. Weitere Informationen finden Sie unter Standorte für Application Integration.INTEGRATION_NAME
: Name der Integration.
Beispiel 2: Zugriff auf jede IntegrationVersion-Ressource in einer Region gewähren
Sie können den folgenden Bedingungsausdruck im Bedingungseditor verwenden, um den Zugriff auf die IntegrationVersion
-Ressource zu ermöglichen:
resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/") || resource.type == "integrations.googleapis.com/Location" || resource.type == "cloudresourcemanager.googleapis.com/Project"
Ersetzen Sie Folgendes:
PROJECT_ID
: Die ID Ihres Google Cloud Projekts.LOCATION
: Der Integrationsort. Eine Liste der unterstützten Standorte finden Sie unter Application Integration-Standorte.