IAM-Bedingungen für präzisen Zugriff

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ihre Verbindungen mithilfe von IAM Conditions einschränken.

Mit einer IAM-Bedingung können Sie Ihre Integration Connectors-Ressourcen genau steuern. Standardmäßig kann ein Integration Connectors-Nutzer oder eine Rolle alle unterstützten Vorgänge für eine Verbindung ausführen. Mit IAM Conditions können Sie einen bestimmten Nutzer oder eine Rolle darauf beschränken, nur ausgewählte Vorgänge für eine Verbindung auszuführen. Sie können beispielsweise einen Nutzer so einschränken, dass er nur die Verbindungen ändern kann, deren Name mit test-connection beginnt. Er hat dann keine anderen Berechtigungen für die Verbindungen, z. B. zum Abonnieren von Ereignissen oder zum Aufrufen der Schemametadaten.

Hinweise

Integration Connectors verwendet die Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, um Rollen und Berechtigungen für Integration Connectors-Ressourcen zu verwalten. Machen Sie sich daher mit den folgenden IAM-Konzepten vertraut, bevor Sie Bedingungen in IAM für Ihre Integration Connectors-Ressourcen angeben oder ändern:

IAM Conditions hinzufügen

Für das Hinzufügen einer IAM Condition zu einer Integration Connectors-Ressource benötigen Sie die folgenden Informationen:

  • Benannter Ressourcen-URI: Jede Ressource in Integration Connectors hat einen eindeutigen Ressourcen-URI. Der URI für die Verbindungsressource ist beispielsweise projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Eine vollständige Liste aller verfügbaren URIs finden Sie unter Integration Connectors REST-Ressourcen. Wenn Sie Zugriffsberechtigungen für eine Ressource detailliert steuern möchten, müssen Sie Ihre Ressource gemäß einer Namenskonvention benennen. Abhängig von Ihren Anforderungen können Sie entscheiden, welche Namenskonvention Sie verwenden möchten. Sie können beispielsweise dem Wort marketing- für alle Verbindungen, die dem Marketingteam gehören, das Präfix voranstellen. In diesem Beispiel beginnt der Ressourcen-URI für die Verbindungen des Marketingteams mit projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
  • Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.
  • Ressourcentyp: Sie können den Umfang der Ressourcen weiter einschränken, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Integration Connectors unterstützt Bedingungen für die folgenden Ressourcen:
    Ressourcenname Ressourcentyp
    Verbindung connectors.googleapis.com/Connection
    ManagedZone connectors.googleapis.com/ManagedZone
    EndpointAttachment connectors.googleapis.com/EndpointAttachment
    EventSubscription connectors.googleapis.com/EventSubscription
    ConnectionSchemaMetadata connectors.googleapis.com/ConnectionSchemaMetadata

Beispiele

In der folgenden Tabelle sind die Beispielbedingungen für Ressourcen aufgeführt, die Sie für einen Integration Connectors-Nutzer oder eine Rolle anwenden können.

IAM-Ressourcenbedingung Beschreibung
(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"
Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:
  • Alle Verbindungen auflisten
  • Abrufen, Erstellen, Aktualisieren und Löschen von Verbindungen, deren Name mit marketing- beginnt.
(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata") 
Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:
  • Alle Verbindungen auflisten
  • Abrufen, Erstellen, Aktualisieren und Löschen nur für Verbindungen, deren Name mit marketing- beginnt.
  • Metadaten des Verbindungsschemas nur für Verbindungen abrufen, deren Name mit marketing- beginnt.

IAM Conditions für Dienstkonten für Application Integration hinzufügen

Sie können IAM-Bedingungen auf das Application Integration-Dienstkonto anwenden, um die Verbindungen einzuschränken, auf die das Dienstkonto während der Ausführung der Integration zugreifen kann. Sie können beispielsweise ein Dienstkonto so einschränken, dass es nur auf Verbindungen zugreifen kann, deren Name mit marketing- beginnt. Weitere Informationen finden Sie unter IAM-Bedingungen auf ein Dienstkonto anwenden.

In der folgenden Tabelle sind die Beispielbedingungen für Ressourcen aufgeführt, die Sie für ein Dienstkonto für Application Integration anwenden können.

IAM-Ressourcenbedingung Beschreibung
resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-")
Das Dienstkonto, auf das Sie diese Bedingung anwenden, kann nur Verbindungen ausführen, deren Name mit marketing- beginnt.

Nächste Schritte

Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch: