Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Bedingungen für präzisen Zugriff

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ihre Verbindungen mithilfe von IAM Conditions einschränken.

Mit einer IAM-Bedingung können Sie Ihre Integration Connectors-Ressourcen genau steuern. Standardmäßig kann ein Integration Connectors-Nutzer oder eine Rolle alle unterstützten Vorgänge für eine Verbindung ausführen. Mit IAM Conditions können Sie einen bestimmten Nutzer oder eine Rolle darauf beschränken, nur ausgewählte Vorgänge für eine Verbindung auszuführen. Sie können beispielsweise einen Nutzer so einschränken, dass er nur die Verbindungen ändern kann, deren Name mit test-connection beginnt. Er hat dann keine anderen Berechtigungen für die Verbindungen, z. B. zum Abonnieren von Ereignissen oder zum Aufrufen der Schemametadaten.

Hinweise

Integration Connectors verwendet die Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, um Rollen und Berechtigungen für Integration Connectors-Ressourcen zu verwalten. Machen Sie sich daher mit den folgenden IAM-Konzepten vertraut, bevor Sie Bedingungen in IAM für Ihre Integration Connectors-Ressourcen angeben oder ändern:

IAM Conditions hinzufügen

Für das Hinzufügen einer IAM Condition zu einer Integration Connectors-Ressource benötigen Sie die folgenden Informationen:

Benannter Ressourcen-URI: Jede Ressource in Integration Connectors hat einen eindeutigen Ressourcen-URI. Der URI für die Verbindungsressource ist beispielsweise projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Eine vollständige Liste aller verfügbaren URIs finden Sie unter Integration Connectors REST-Ressourcen. Wenn Sie Zugriffsberechtigungen für eine Ressource detailliert steuern möchten, müssen Sie Ihre Ressource gemäß einer Namenskonvention benennen. Abhängig von Ihren Anforderungen können Sie entscheiden, welche Namenskonvention Sie verwenden möchten. Sie können beispielsweise dem Wort marketing- für alle Verbindungen, die dem Marketingteam gehören, das Präfix voranstellen. In diesem Beispiel beginnt der Ressourcen-URI für die Verbindungen des Marketingteams mit projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.

Ressourcentyp: Sie können den Umfang der Ressourcen weiter einschränken, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Integration Connectors unterstützt Bedingungen für die folgenden Ressourcen:

Ressourcenname	Ressourcentyp
Verbindung	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Hinweis : Die Ressourcen von Google Cloud haben eine hierarchische Struktur. Die Berechtigungen, die Sie auf eine übergeordnete Ressource anwenden, werden nicht auf die untergeordneten Ressourcen der übergeordneten Ressource übertragen. Umgekehrt werden die Berechtigungen, die Sie auf untergeordnete Ressourcen anwenden, nicht auf die übergeordnete Ressource der untergeordneten Ressourcen angewendet. Wenn Sie beispielsweise einen Nutzer so eingeschränkt haben, dass er nur auf die Verbindungen zugreifen kann, deren Name mit marketing- beginnt, kann er trotzdem alle Verbindungen auflisten (anzeigen), da die Berechtigung list für die übergeordnete Ressource (Standort) der Verbindung verfügbar ist. Der Nutzer kann jedoch nur für die Verbindungen, deren Name mit marketing- beginnt, die Vorgänge „get“, „create“, „update“ und „delete“ ausführen.

Beispiele

In der folgenden Tabelle sind die Beispielbedingungen für Ressourcen aufgeführt, die Sie für einen Integration Connectors-Nutzer oder eine Rolle anwenden können.

IAM-Ressourcenbedingung Beschreibung

IAM-Ressourcenbedingung	Beschreibung
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen: Alle Verbindungen auflisten Abrufen, Erstellen, Aktualisieren und Löschen von Verbindungen, deren Name mit `marketing-` beginnt.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen: Alle Verbindungen auflisten Abrufen, Erstellen, Aktualisieren und Löschen nur für Verbindungen, deren Name mit `marketing-` beginnt. Metadaten des Verbindungsschemas nur für Verbindungen abrufen, deren Name mit `marketing-` beginnt.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:

Alle Verbindungen auflisten
Abrufen, Erstellen, Aktualisieren und Löschen von Verbindungen, deren Name mit marketing- beginnt.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:

Alle Verbindungen auflisten
Abrufen, Erstellen, Aktualisieren und Löschen nur für Verbindungen, deren Name mit marketing- beginnt.
Metadaten des Verbindungsschemas nur für Verbindungen abrufen, deren Name mit marketing- beginnt.

IAM Conditions für Dienstkonten für Application Integration hinzufügen

Sie können IAM-Bedingungen auf das Application Integration-Dienstkonto anwenden, um die Verbindungen einzuschränken, auf die das Dienstkonto während der Ausführung der Integration zugreifen kann. Sie können beispielsweise ein Dienstkonto so einschränken, dass es nur auf Verbindungen zugreifen kann, deren Name mit marketing- beginnt. Weitere Informationen finden Sie unter IAM-Bedingungen auf ein Dienstkonto anwenden.

In der folgenden Tabelle sind die Beispielbedingungen für Ressourcen aufgeführt, die Sie für ein Dienstkonto für Application Integration anwenden können.

IAM-Ressourcenbedingung	Beschreibung
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	Das Dienstkonto, auf das Sie diese Bedingung anwenden, kann nur Verbindungen ausführen, deren Name mit `marketing-` beginnt.

Hinweis : Derzeit unterstützt Integration Connectors nur die Einschränkung startsWith für eine Dienstkonto-Ressourcenbedingung.

Nächste Schritte

Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch: