Esta página se ha traducido con Cloud Translation API.

Condiciones de gestión de identidades y accesos para un acceso pormenorizado

En esta página se describe cómo restringir el acceso a tus conexiones mediante las condiciones de gestión de identidades y accesos.

Una condición de gestión de identidades y accesos te permite controlar de forma granular tus recursos de Integration Connectors. De forma predeterminada, un usuario o un rol de Integration Connectors puede realizar todas las operaciones admitidas en una conexión. Con las condiciones de gestión de identidades y accesos, puedes restringir a un usuario o un rol específicos para que solo puedan realizar determinadas operaciones en una conexión. Por ejemplo, puede restringir a un usuario para que solo pueda modificar las conexiones cuyo nombre empiece por test-connection y no tenga otros permisos en las conexiones, como suscribirse a eventos o ver los metadatos del esquema.

Antes de empezar

Integration Connectors usa Gestión de Identidades y Accesos (IAM) de Google Cloud para gestionar los roles y permisos de los recursos de Integration Connectors. Por lo tanto, antes de especificar o modificar condiciones en la gestión de identidades y accesos para tus recursos de Integration Connectors, familiarízate con los siguientes conceptos de gestión de identidades y accesos:

Añadir condiciones de gestión de identidades y accesos

Para añadir una condición de gestión de identidades y accesos a un recurso de Integration Connectors, necesitas la siguiente información:

URI de recurso con nombre: cada recurso de Integration Connectors tiene un URI de recurso único. Por ejemplo, el URI del recurso de conexión es projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Para ver la lista completa de todos los URIs disponibles, consulta Recursos REST de Integration Connectors. Para controlar los permisos de acceso de un recurso de forma granular, debes asignar un nombre al recurso siguiendo una convención de nomenclatura. En función de tus requisitos, puedes decidir la convención de nomenclatura que quieras usar. Por ejemplo, puedes añadir el prefijo marketing- a todas las conexiones que pertenezcan al equipo de marketing. En este ejemplo, el URI del recurso de las conexiones del equipo de marketing empezará por projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Permisos solo para padres: comprueba si un recurso o alguno de sus recursos secundarios requieren el permiso solo para padres. Para obtener más información, consulta Permisos solo para padres.

Tipo de recurso: puede acotar aún más el ámbito de los recursos filtrando por un tipo de recurso en la condición. Integration Connectors admite condiciones para los siguientes recursos:

Nombre del recurso	Tipo de recurso
Conexión	connectors.googleapis.com/Connection
Zona gestionada	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Nota: Los recursos de Google Cloud tienen una estructura jerárquica y los permisos que apliques a un recurso principal no se propagarán a los recursos secundarios del principal. Del mismo modo, los permisos que apliques a los recursos secundarios no se aplicarán al recurso principal. Por ejemplo, si has restringido el acceso de un usuario a las conexiones cuyo nombre empieza por marketing-, el usuario podrá ver todas las conexiones porque el permiso list está disponible en el recurso principal de la conexión (ubicación). Sin embargo, el usuario solo puede realizar operaciones de obtención, creación, actualización y eliminación en las conexiones cuyo nombre empiece por marketing-.

Ejemplos

En la siguiente tabla se enumeran las condiciones de recursos de ejemplo que puede aplicar a un usuario o un rol de Integration Connectors.

Condición de recurso de gestión de identidades y accesos Descripción

Condición de recurso de gestión de identidades y accesos	Descripción
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Un usuario o un rol al que apliques esta condición solo podrá realizar las siguientes operaciones: Lista todas las conexiones. Realiza operaciones de obtención, creación, actualización y eliminación en conexiones cuyo nombre empiece por `marketing-`.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Un usuario o un rol al que apliques esta condición solo podrá realizar las siguientes operaciones: Lista de todas las conexiones. Realiza operaciones de obtención, creación, actualización y eliminación solo para las conexiones cuyo nombre empiece por `marketing-`. Obtener los metadatos del esquema de conexión solo para las conexiones cuyo nombre empiece por `marketing-`.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Un usuario o un rol al que apliques esta condición solo podrá realizar las siguientes operaciones:

Lista todas las conexiones.
Realiza operaciones de obtención, creación, actualización y eliminación en conexiones cuyo nombre empiece por marketing-.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Un usuario o un rol al que apliques esta condición solo podrá realizar las siguientes operaciones:

Lista de todas las conexiones.
Realiza operaciones de obtención, creación, actualización y eliminación solo para las conexiones cuyo nombre empiece por marketing-.
Obtener los metadatos del esquema de conexión solo para las conexiones cuyo nombre empiece por marketing-.

Añadir condiciones de gestión de identidades y accesos para cuentas de servicio de integración de aplicaciones

Puedes aplicar condiciones de gestión de identidades y accesos a la cuenta de servicio de Application Integration, lo que te permite restringir las conexiones a las que puede acceder la cuenta de servicio durante la ejecución de la integración. Por ejemplo, puedes restringir una cuenta de servicio para que solo pueda acceder a las conexiones cuyo nombre empiece por marketing-. Para obtener más información, consulta Aplicar condiciones de gestión de identidades y accesos a una cuenta de servicio.

En la siguiente tabla se enumeran las condiciones de recursos de ejemplo que puede aplicar a una cuenta de servicio de Application Integration.

Condición de recurso de gestión de identidades y accesos	Descripción
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	La cuenta de servicio a la que apliques esta condición solo podrá ejecutar las conexiones cuyo nombre empiece por `marketing-`.

Nota: Actualmente, Integration Connectors solo admite la restricción startsWith para la condición de un recurso de cuenta de servicio.

Siguientes pasos

Consulta la siguiente información de la documentación de gestión de identidades y accesos: