IAM-Bedingungen für präzisen Zugriff
Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ihre Verbindungen mithilfe von IAM Conditions einschränken.
Mit einer IAM-Bedingung können Sie Ihre Integration Connectors-Ressourcen genau steuern. Standardmäßig kann ein Integration Connectors-Nutzer oder eine Rolle alle unterstützten Vorgänge für eine Verbindung ausführen. Mit IAM Conditions können Sie einen bestimmten Nutzer oder eine Rolle darauf beschränken, nur ausgewählte Vorgänge für eine Verbindung auszuführen. Sie können beispielsweise einen Nutzer so einschränken, dass er nur die Verbindungen ändern kann, deren Name mit test-connection
beginnt. Er hat dann keine anderen Berechtigungen für die Verbindungen, z. B. zum Abonnieren von Ereignissen oder zum Aufrufen der Schemametadaten.
Hinweise
Integration Connectors verwendet die Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, um Rollen und Berechtigungen für Integration Connectors-Ressourcen zu verwalten. Machen Sie sich daher mit den folgenden IAM-Konzepten vertraut, bevor Sie Bedingungen in IAM für Ihre Integration Connectors-Ressourcen angeben oder ändern:
- Ressource
- Ressourcenhierarchie
- Rollen
- Benutzerdefinierte Rollen
- Berechtigungen
- Nur für übergeordnete Ressourcen geltende Berechtigungen
IAM Conditions hinzufügen
Für das Hinzufügen einer IAM Condition zu einer Integration Connectors-Ressource benötigen Sie die folgenden Informationen:
- Benannter Ressourcen-URI: Jede Ressource in Integration Connectors hat einen eindeutigen Ressourcen-URI. Der URI für die Verbindungsressource ist beispielsweise
projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}
. Eine vollständige Liste aller verfügbaren URIs finden Sie unter Integration Connectors REST-Ressourcen. Wenn Sie Zugriffsberechtigungen für eine Ressource detailliert steuern möchten, müssen Sie Ihre Ressource gemäß einer Namenskonvention benennen. Abhängig von Ihren Anforderungen können Sie entscheiden, welche Namenskonvention Sie verwenden möchten. Sie können beispielsweise dem Wortmarketing-
für alle Verbindungen, die dem Marketingteam gehören, das Präfix voranstellen. In diesem Beispiel beginnt der Ressourcen-URI für die Verbindungen des Marketingteams mitprojects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-
. - Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.
- Ressourcentyp: Sie können den Umfang der Ressourcen weiter einschränken, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Integration Connectors unterstützt Bedingungen für die folgenden Ressourcen:
Ressourcenname Ressourcentyp Verbindung connectors.googleapis.com/Connection ManagedZone connectors.googleapis.com/ManagedZone EndpointAttachment connectors.googleapis.com/EndpointAttachment EventSubscription connectors.googleapis.com/EventSubscription ConnectionSchemaMetadata connectors.googleapis.com/ConnectionSchemaMetadata
Beispiele
In der folgenden Tabelle sind die Beispielbedingungen für Ressourcen aufgeführt, die Sie für einen Integration Connectors-Nutzer oder eine Rolle anwenden können.
IAM-Ressourcenbedingung | Beschreibung |
---|---|
(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection" |
Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:
|
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") || (resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") || (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata") |
Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:
|
IAM Conditions für Dienstkonten für Application Integration hinzufügen
Sie können IAM-Bedingungen auf das Application Integration-Dienstkonto anwenden, um die Verbindungen einzuschränken, auf die das Dienstkonto während der Ausführung der Integration zugreifen kann. Sie können beispielsweise ein Dienstkonto so einschränken, dass es nur auf Verbindungen zugreifen kann, deren Name mit marketing-
beginnt.
Weitere Informationen finden Sie unter IAM-Bedingungen auf ein Dienstkonto anwenden.
In der folgenden Tabelle sind die Beispielbedingungen für Ressourcen aufgeführt, die Sie für ein Dienstkonto für Application Integration anwenden können.
IAM-Ressourcenbedingung | Beschreibung |
---|---|
resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") |
Das Dienstkonto, auf das Sie diese Bedingung anwenden, kann nur Verbindungen ausführen, deren Name mit marketing- beginnt. |
Nächste Schritte
Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch:
- Einer Richtlinie eine bedingte Rollenbindung hinzufügen
- Vorhandene bedingte Rollenbindung ändern
- Bedingte Rollenbindung entfernen