IAM-Bedingungen für detaillierten Zugriff

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ihre Verbindungen mithilfe von IAM-Bedingungen einschränken.

Mit einer IAM-Bedingung haben Sie eine detaillierte Kontrolle über Ihre Integration Connectors-Ressourcen. Standardmäßig kann ein Integration Connectors-Nutzer oder eine Rolle alle unterstützten Vorgänge für eine Verbindung ausführen. Mit IAM-Bedingungen können Sie einen bestimmten Nutzer oder eine Rolle so einschränken, dass er nur ausgewählte Vorgänge auf einer Verbindung ausführt. Sie können einen Nutzer beispielsweise so einschränken, dass er nur Verbindungen ändern kann, deren Name mit test-connection beginnt, und keine anderen Berechtigungen für die Verbindungen hat, z. B. das Abonnieren von Ereignissen oder das Aufrufen von Schemametadaten.

Hinweise

Integration Connectors verwendet die Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, um Rollen und Berechtigungen für Integration Connectors-Ressourcen zu verwalten. Machen Sie sich daher mit den folgenden IAM-Konzepten vertraut, bevor Sie Bedingungen in IAM für Ihre Integration Connectors-Ressourcen festlegen oder ändern:

IAM Conditions hinzufügen

Zum Hinzufügen einer IAM-Bedingung zu einer Integration Connectors-Ressource benötigen Sie die folgenden Informationen:

Benannter Ressourcen-URI – Jede Ressource in Integration Connectors hat einen eindeutigen Ressourcen-URI. Der URI für die Verbindungsressource ist beispielsweise projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Eine vollständige Liste aller verfügbaren URIs finden Sie unter Integration Connectors REST-Ressourcen. Wenn Sie die Zugriffsberechtigungen für eine Ressource detailliert steuern möchten, müssen Sie die Ressource gemäß einer Namenskonvention benennen. Je nach Ihren Anforderungen können Sie entscheiden, welche Namenskonvention Sie verwenden möchten. Beispielsweise können Sie das Wort marketing- für alle Verbindungen voranstellen, die dem Marketingteam gehören. In diesem Beispiel beginnt der Ressourcen-URI für die Verbindungen des Marketingteams mit projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.

Ressourcentyp: Sie können den Umfang der Ressourcen weiter eingrenzen, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Integration Connectors unterstützt Bedingungen für die folgenden Ressourcen:

Ressourcenname	Ressourcentyp
Connection	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Hinweis : Die Ressourcen von Google Cloud haben eine hierarchische Struktur. Die Berechtigungen, die Sie auf eine übergeordnete Ressource anwenden, werden nicht für die untergeordneten Ressourcen der übergeordneten Ressource übernommen. Ebenso gelten die Berechtigungen, die Sie auf eine oder mehrere untergeordnete Ressourcen anwenden, nicht für die übergeordnete Ressource. Wenn Sie beispielsweise festgelegt haben, dass ein Nutzer nur auf Verbindungen zugreifen darf, deren Name mit marketing- beginnt, kann der Nutzer trotzdem alle Verbindungen auflisten (ansehen), da die Berechtigung list für die übergeordnete Ressource der Verbindung (Standort) verfügbar ist. Der Nutzer kann jedoch Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge nur für Verbindungen ausführen, deren Name mit marketing- beginnt.

Beispiele

In der folgenden Tabelle sind die Beispielressourcenbedingungen aufgeführt, die Sie auf einen Integration Connectors-Nutzer oder eine Rolle anwenden können.

Bedingung für IAM-Ressourcen Beschreibung

Bedingung für IAM-Ressourcen	Beschreibung
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur folgende Vorgänge ausführen: Listen Sie alle Verbindungen auf. Führt Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge für Verbindungen aus, deren Name mit `marketing-` beginnt.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur folgende Vorgänge ausführen: Listen Sie alle Verbindungen auf. Führt Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge nur für Verbindungen aus, deren Name mit `marketing-` beginnt. Metadaten des Verbindungsschemas abrufen nur für Verbindungen, deren Name mit `marketing-` beginnt.


(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur folgende Vorgänge ausführen:

Listen Sie alle Verbindungen auf.
Führt Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge für Verbindungen aus, deren Name mit marketing- beginnt.


(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection"
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur folgende Vorgänge ausführen:

Listen Sie alle Verbindungen auf.
Führt Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge nur für Verbindungen aus, deren Name mit marketing- beginnt.
Metadaten des Verbindungsschemas abrufen nur für Verbindungen, deren Name mit marketing- beginnt.

IAM-Bedingungen für Application Integration-Dienstkonten hinzufügen

Sie können IAM-Bedingungen auf das Application Integration-Dienstkonto anwenden, sodass Sie die Verbindungen einschränken können, auf die das Dienstkonto während der Integrationsausführung zugreifen kann. Beispielsweise können Sie ein Dienstkonto so einschränken, dass es nur auf Verbindungen zugreifen kann, deren Name mit marketing- beginnt. Weitere Informationen finden Sie unter IAM-Bedingungen auf ein Dienstkonto anwenden.

In der folgenden Tabelle sind die Beispielressourcenbedingungen aufgeführt, die Sie auf ein Application Integration-Dienstkonto anwenden können.

Bedingung für IAM-Ressourcen	Beschreibung
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	Das Dienstkonto, auf das Sie diese Bedingung anwenden, kann nur Verbindungen ausführen, deren Name mit `marketing-` beginnt.

Hinweis : Integration Connectors unterstützt derzeit nur die Einschränkung startsWith für eine Dienstkonto-Ressourcenbedingung.

Nächste Schritte

Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch: