Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Bedingungen für detaillierten Zugriff

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ihre Verbindungen mithilfe von IAM-Bedingungen einschränken.

Mit einer IAM-Bedingung können Sie Ihre Integration Connectors-Ressourcen genau steuern. Standardmäßig kann ein Nutzer oder eine Rolle für Integration Connectors alle unterstützten Vorgänge für eine Verbindung ausführen. Mit IAM-Bedingungen können Sie festlegen, dass ein bestimmter Nutzer oder eine bestimmte Rolle nur ausgewählte Vorgänge auf einer Verbindung ausführen darf. Sie können beispielsweise festlegen, dass ein Nutzer nur Verbindungen ändern darf, deren Name mit test-connection beginnt. Er hat dann keine anderen Berechtigungen für die Verbindungen, z. B. das Abonnieren von Ereignissen oder das Ansehen der Schemametadaten.

Hinweis

Integration Connectors verwendet die Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, um Rollen und Berechtigungen für die Ressourcen von Integration Connectors zu verwalten. Machen Sie sich daher mit den folgenden IAM-Konzepten vertraut, bevor Sie Bedingungen in IAM für Ihre Integration Connectors-Ressourcen angeben oder ändern:

IAM Conditions hinzufügen

Wenn Sie einer Integration Connectors-Ressource eine IAM-Bedingung hinzufügen möchten, benötigen Sie die folgenden Informationen:

Benannter Ressourcen-URI: Jede Ressource in Integration Connectors hat einen eindeutigen Ressourcen-URI. Der URI für die Verbindungsressource ist beispielsweise projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Eine vollständige Liste aller verfügbaren URIs finden Sie unter REST-Ressourcen für Integration Connectors. Wenn Sie Zugriffsberechtigungen für eine Ressource detailliert steuern möchten, müssen Sie Ihre Ressource gemäß einer Namenskonvention benennen. Abhängig von Ihren Anforderungen können Sie die Namenskonvention festlegen, die Sie verwenden möchten. Sie können beispielsweise dem Wort marketing- für alle Verbindungen, die dem Marketingteam gehören, das Präfix voranstellen. In diesem Beispiel beginnt der Ressourcen-URI für die Verbindungen des Marketingteams mit projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.

Ressourcentyp: Sie können den Umfang der Ressourcen weiter einschränken, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Integration Connectors unterstützt Bedingungen für die folgenden Ressourcen:

Ressourcenname	Ressourcentyp
Verbindung	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Hinweis : Die Ressourcen in Google Cloud haben eine hierarchische Struktur. Die Berechtigungen, die Sie auf eine übergeordnete Ressource anwenden, werden nicht auf die untergeordneten Ressourcen der übergeordneten Ressource übertragen. Umgekehrt gelten die Berechtigungen, die Sie auf eine untergeordnete Ressource anwenden, nicht für die übergeordnete Ressource. Wenn Sie beispielsweise einem Nutzer den Zugriff nur auf Verbindungen erlaubt haben, deren Name mit marketing- beginnt, kann er trotzdem alle Verbindungen auflisten (ansehen), da die Berechtigung list für die übergeordnete Ressource (Speicherort) der Verbindung verfügbar ist. Der Nutzer kann jedoch nur Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge für Verbindungen ausführen, deren Name mit marketing- beginnt.

Beispiele

In der folgenden Tabelle sind Beispielressourcenbedingungen aufgeführt, die Sie auf einen Integration Connectors-Nutzer oder eine Rolle anwenden können.

IAM-Ressourcenbedingung Beschreibung

IAM-Ressourcenbedingung	Beschreibung
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen: Liste alle Verbindungen auf. Abrufen, Erstellen, Aktualisieren und Löschen auf Verbindungen, deren Name mit `marketing-` beginnt.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen: Liste der Verbindungen auflisten Führen Sie Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge nur für Verbindungen aus, deren Name mit `marketing-` beginnt. Metadaten des Verbindungsschemas nur für Verbindungen abrufen, deren Name mit `marketing-` beginnt.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:

Liste alle Verbindungen auf.
Abrufen, Erstellen, Aktualisieren und Löschen auf Verbindungen, deren Name mit marketing- beginnt.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:

Liste der Verbindungen auflisten
Führen Sie Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge nur für Verbindungen aus, deren Name mit marketing- beginnt.
Metadaten des Verbindungsschemas nur für Verbindungen abrufen, deren Name mit marketing- beginnt.

IAM-Bedingungen für Dienstkonten der Anwendungsintegration hinzufügen

Sie können IAM-Bedingungen auf das Dienstkonto der Anwendungsintegration anwenden, um die Verbindungen einzuschränken, auf die das Dienstkonto während der Ausführung der Integration zugreifen kann. Sie können ein Dienstkonto beispielsweise so einschränken, dass es nur auf Verbindungen zugreifen kann, deren Name mit marketing- beginnt. Weitere Informationen finden Sie unter IAM-Bedingungen auf ein Dienstkonto anwenden.

In der folgenden Tabelle sind Beispielbedingungen für Ressourcen aufgeführt, die Sie für ein Dienstkonto für die Anwendungsintegration anwenden können.

IAM-Ressourcenbedingung	Beschreibung
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	Das Dienstkonto, auf das Sie diese Bedingung anwenden, kann nur Verbindungen ausführen, deren Name mit `marketing-` beginnt.

Hinweis : Derzeit unterstützen Integration Connectors nur die Einschränkung startsWith für eine Bedingung für eine Dienstkontoressource.

Nächste Schritte

Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch: