Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Bedingungen für detaillierten Zugriff

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ihre Verbindungen mithilfe von IAM-Bedingungen einschränken.

Mit einer IAM-Bedingung können Sie Ihre Integration Connectors-Ressourcen genau steuern. Standardmäßig einen Integration Connectors-Nutzer oder eine Rolle kann alle unterstützten Vorgänge für eine Verbindung ausführen. Mit IAM-Bedingungen können Sie festlegen, dass ein bestimmter Nutzer oder eine bestimmte Rolle nur ausgewählte Vorgänge auf einer Verbindung ausführen darf. Sie können beispielsweise festlegen, dass ein Nutzer nur Verbindungen ändern darf, deren Name mit test-connection beginnt. Er hat dann keine anderen Berechtigungen für die Verbindungen, z. B. das Abonnieren von Ereignissen oder das Ansehen der Schemametadaten.

Hinweis

Integration Connectors verwendet die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) von Google Cloud zum Verwalten von Rollen und Berechtigungen für Integration Connectors-Ressourcen. Daher können Sie, bevor Sie oder ändern Sie die IAM-Bedingungen für Ihre Integration Connectors-Ressourcen, machen Sie sich mit den folgenden IAM-Konzepten vertraut:

IAM Conditions hinzufügen

Wenn Sie einer Integration Connectors-Ressource eine IAM-Bedingung hinzufügen möchten, benötigen Sie die folgenden Informationen:

Benannter Ressourcen-URI: Jede Ressource in Integration Connectors hat einen eindeutigen Ressourcen-URI. Der URI für die Verbindungsressource ist beispielsweise projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Eine vollständige Liste aller verfügbaren URIs finden Sie unter Integration Connectors-REST-Ressourcen. Um die Zugriffsberechtigungen für eine Ressource im Detail zu steuern, müssen Sie gemäß einer Namenskonvention ein. Je nach Ihren Anforderungen können Sie welche Namenskonvention Sie verwenden möchten. Sie können dem Wort marketing- für alle Verbindungen, die dem Marketingteam gehören. In diesem Beispiel beginnt der Ressourcen-URI für die Verbindungen des Marketingteams mit projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Nur übergeordnete Berechtigungen: Mit dieser Option können Sie prüfen, ob eine Ressource oder eine ihrer untergeordneten Ressourcen die Berechtigung nur für übergeordnete Ressourcen erfordert. Weitere Informationen finden Sie unter Berechtigungen für übergeordnete Ressourcen.

Ressourcentyp: Sie können den Umfang der Ressourcen weiter einschränken, indem Sie in der Bedingung nach einem Ressourcentyp filtern. Integration Connectors unterstützt Bedingungen für die folgenden Ressourcen:

Ressourcenname	Ressourcentyp
Verbindung	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Hinweis : Die Ressourcen von Google Cloud haben eine hierarchische Struktur und Berechtigungen, die Sie auf eine übergeordnete Ressource anwenden, werden nicht weitergegeben an die untergeordneten Ressourcen der übergeordneten Ressource und umgekehrt die Sie auf untergeordnete Ressourcen anwenden, nicht auf die übergeordneten Ressourcen der untergeordneten Ressource. Beispiel: wenn Sie einen Nutzer auf die Verbindungen beschränkt haben, Name beginnt mit marketing-, kann der Nutzer weiterhin alle Verbindungen, da die Berechtigung list für der übergeordneten Ressource (Standort) der Verbindung. Der Nutzer kann jedoch nur Abruf-, Erstellungs-, Aktualisierungs- und Löschvorgänge für Verbindungen ausführen, deren Name mit marketing- beginnt.

Beispiele

In der folgenden Tabelle sind Beispielressourcenbedingungen aufgeführt, die Sie auf einen Integration Connectors-Nutzer oder eine Rolle anwenden können.

IAM-Ressourcenbedingung Beschreibung

IAM-Ressourcenbedingung	Beschreibung
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen: Listen Sie alle Verbindungen auf. Abrufen, Erstellen, Aktualisieren und Löschen auf Verbindungen, deren Name mit `marketing-` beginnt.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen: Liste aller Verbindungen auflisten Get-, Erstellungs-, Aktualisierungs- und Löschvorgänge nur für Verbindungen ausführen, deren Name mit `marketing-` beginnt. Metadaten des Verbindungsschemas nur für Verbindungen abrufen, deren Name mit `marketing-` beginnt.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:

Listen Sie alle Verbindungen auf.
Abrufen, Erstellen, Aktualisieren und Löschen auf Verbindungen, deren Name mit marketing- beginnt.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Ein Nutzer oder eine Rolle, auf die Sie diese Bedingung anwenden, kann nur die folgenden Vorgänge ausführen:

Liste aller Verbindungen auflisten
Get-, Erstellungs-, Aktualisierungs- und Löschvorgänge nur für Verbindungen ausführen, deren Name mit marketing- beginnt.
Metadaten des Verbindungsschemas nur für Verbindungen abrufen, deren Name mit marketing- beginnt.

IAM-Bedingungen für Dienstkonten der Anwendungsintegration hinzufügen

Sie können IAM-Bedingungen auf das Application Integration-Dienstkonto anwenden und so die Verbindungen einschränken auf das das Dienstkonto während der Integrationsausführung zugreifen kann. Sie können beispielsweise ein Dienstkonto so eingerichtet sind, dass es nur auf Verbindungen zugreifen kann, deren Name mit marketing- beginnt. Weitere Informationen finden Sie unter IAM-Bedingungen anwenden auf ein Dienstkonto.

In der folgenden Tabelle sind Beispielbedingungen für Ressourcen aufgeführt, die Sie für ein Dienstkonto für die Anwendungsintegration anwenden können.

IAM-Ressourcenbedingung	Beschreibung
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	Das Dienstkonto, auf das Sie diese Bedingung anwenden, kann nur Verbindungen ausführen, deren Name mit `marketing-` beginnt.

Hinweis: Derzeit wird in Integration Connectors nur die Einschränkung startsWith für eine Bedingung für eine Dienstkontoressource unterstützt.

Nächste Schritte

Gehen Sie die folgenden Informationen in der IAM-Dokumentation durch: