IAM-Bedingungen für detaillierten Zugriff
Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ihre Verbindungen mithilfe von IAM-Bedingungen einschränken.
Mit einer IAM-Bedingung haben Sie eine detaillierte Kontrolle über Ihre Integration Connectors-Ressourcen. Standardmäßig kann ein Integration Connectors-Nutzer oder eine Rolle alle unterstützten Vorgänge für eine Verbindung ausführen. Mit IAM-Bedingungen können Sie einen bestimmten Nutzer oder eine Rolle so einschränken, dass er nur ausgewählte Vorgänge auf einer Verbindung ausführt. Sie können einen Nutzer beispielsweise so einschränken, dass er nur Verbindungen ändern kann, deren Name mit test-connection
beginnt, und keine anderen Berechtigungen für die Verbindungen hat, z. B. das Abonnieren von Ereignissen oder das Aufrufen von Schemametadaten.
Hinweise
Integration Connectors verwendet die Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, um Rollen und Berechtigungen für Integration Connectors-Ressourcen zu verwalten. Machen Sie sich daher mit den folgenden IAM-Konzepten vertraut, bevor Sie Bedingungen in IAM für Ihre Integration Connectors-Ressourcen festlegen oder ändern:
- Ressource
- Ressourcenhierarchie
- Rollen
- Benutzerdefinierte Rollen
- Berechtigungen
- Nur für übergeordnete Ressourcen geltende Berechtigungen
IAM Conditions hinzufügen
Zum Hinzufügen einer IAM-Bedingung zu einer Integration Connectors-Ressource benötigen Sie die folgenden Informationen:
- Benannter Ressourcen-URI – Jede Ressource in Integration Connectors hat einen eindeutigen Ressourcen-URI. Der URI für die Verbindungsressource ist beispielsweise
projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}
. Eine vollständige Liste aller verfügbaren URIs finden Sie unter Integration Connectors REST-Ressourcen. Wenn Sie die Zugriffsberechtigungen für eine Ressource detailliert steuern möchten, müssen Sie die Ressource gemäß einer Namenskonvention benennen. Je nach Ihren Anforderungen können Sie entscheiden, welche Namenskonvention Sie verwenden möchten. Beispielsweise können Sie das Wortmarketing-
für alle Verbindungen voranstellen, die dem Marketingteam gehören. In diesem Beispiel beginnt der Ressourcen-URI für die Verbindungen des Marketingteams mitprojects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-
. - Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.
- Ressourcentyp: Sie können den Umfang der Ressourcen weiter eingrenzen, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Integration Connectors unterstützt Bedingungen für die folgenden Ressourcen:
Ressourcenname Ressourcentyp Connection connectors.googleapis.com/Connection ManagedZone connectors.googleapis.com/ManagedZone EndpointAttachment connectors.googleapis.com/EndpointAttachment EventSubscription connectors.googleapis.com/EventSubscription ConnectionSchemaMetadata connectors.googleapis.com/ConnectionSchemaMetadata
Beispiele
In der folgenden Tabelle sind die Beispielressourcenbedingungen aufgeführt, die Sie auf einen Integration Connectors-Nutzer oder eine Rolle anwenden können.
Bedingung für IAM-Ressourcen | Beschreibung |
---|---|
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) || resource.type != "connectors.googleapis.com/Connection" |
Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur folgende Vorgänge ausführen:
|
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") || (resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") || (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata") |
Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur folgende Vorgänge ausführen:
|
IAM-Bedingungen für Application Integration-Dienstkonten hinzufügen
Sie können IAM-Bedingungen auf das Application Integration-Dienstkonto anwenden, sodass Sie die Verbindungen einschränken können, auf die das Dienstkonto während der Integrationsausführung zugreifen kann. Beispielsweise können Sie ein Dienstkonto so einschränken, dass es nur auf Verbindungen zugreifen kann, deren Name mit marketing-
beginnt.
Weitere Informationen finden Sie unter IAM-Bedingungen auf ein Dienstkonto anwenden.
In der folgenden Tabelle sind die Beispielressourcenbedingungen aufgeführt, die Sie auf ein Application Integration-Dienstkonto anwenden können.
Bedingung für IAM-Ressourcen | Beschreibung |
---|---|
resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") |
Das Dienstkonto, auf das Sie diese Bedingung anwenden, kann nur Verbindungen ausführen, deren Name mit marketing- beginnt. |
Nächste Schritte
Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch:
- Einer Richtlinie eine bedingte Rollenbindung hinzufügen
- Vorhandene bedingte Rollenbindung ändern
- Bedingte Rollenbindung entfernen