Kondisi IAM untuk akses terperinci
Halaman ini menjelaskan cara membatasi akses ke koneksi Anda menggunakan Kondisi IAM.
Kondisi IAM memungkinkan Anda memiliki kontrol terperinci atas resource Integration Connectors. Secara default,
pengguna atau peran Konektor Integrasi
dapat melakukan semua operasi yang didukung pada koneksi. Dengan menggunakan IAM Conditions, Anda dapat membatasi pengguna atau peran tertentu untuk hanya melakukan operasi yang dipilih pada koneksi. Misalnya, Anda dapat membatasi pengguna sehingga pengguna hanya dapat mengubah koneksi yang namanya diawali dengan test-connection
, dan tidak akan memiliki izin lain pada koneksi seperti berlangganan peristiwa, atau melihat metadata skema.
Sebelum memulai
Integration Connectors menggunakan Identity and Access Management (IAM) Google Cloud untuk mengelola peran dan izin untuk resource Integration Connectors. Oleh karena itu, sebelum menentukan atau mengubah kondisi di IAM untuk resource Integration Connectors, pahami konsep IAM berikut:
Menambahkan Kondisi IAM
Untuk menambahkan kondisi IAM ke resource Integration Connectors, Anda memerlukan informasi berikut:
- URI Resource Bernama - Setiap resource di Integration Connectors memiliki URI resource yang unik. Misalnya, URI untuk resource koneksi adalah
projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}
. Untuk daftar lengkap semua URI yang tersedia, lihat resource REST Konektor Integrasi. Untuk mengontrol izin akses resource pada level terperinci, Anda harus memberi nama resource sesuai dengan konvensi penamaan. Berdasarkan persyaratan, Anda dapat menentukan konvensi penamaan yang ingin digunakan. Misalnya, Anda dapat menambahkan awalan katamarketing-
untuk semua koneksi yang dimiliki oleh tim pemasaran. Dalam contoh ini, URI resource untuk koneksi tim pemasaran, akan dimulai denganprojects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-
. - Izin khusus induk - Periksa apakah resource atau resource turunannya memerlukan izin khusus orang tua. Untuk informasi selengkapnya, lihat Izin khusus orang tua.
- Jenis resource - Anda dapat lebih mempersempit cakupan resource dengan memfilter
jenis resource dalam kondisi. Integration Connectors mendukung kondisi untuk resource berikut:
Nama fasilitas Jenis aset Koneksi connectors.googleapis.com/Connection ManagedZone connectors.googleapis.com/ManagedZone EndpointAttachment connectors.googleapis.com/EndpointAttachment EventSubscription connectors.googleapis.com/EventSubscription ConnectionSchemaMetadata connectors.googleapis.com/ConnectionSchemaMetadata
Contoh
Tabel berikut mencantumkan contoh kondisi resource yang dapat Anda terapkan untuk pengguna atau peran Integration Connectors.
Kondisi resource IAM | Deskripsi |
---|---|
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) || resource.type != "connectors.googleapis.com/Connection" |
Pengguna atau peran yang Anda terapkan kondisi ini hanya dapat melakukan operasi berikut:
|
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") || (resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") || (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata") |
Pengguna atau peran yang Anda terapkan kondisi ini hanya dapat melakukan operasi berikut:
|
Menambahkan Kondisi IAM untuk akun layanan Application Integration
Anda dapat menerapkan IAM Conditions ke akun layanan Application Integration, yang memungkinkan Anda membatasi koneksi yang dapat diakses akun layanan selama eksekusi integrasi. Misalnya, Anda dapat membatasi
akun layanan sehingga hanya dapat mengakses koneksi yang namanya dimulai dengan marketing-
.
Untuk informasi selengkapnya, lihat Menerapkan Kondisi IAM ke akun layanan.
Tabel berikut mencantumkan contoh kondisi resource yang dapat Anda terapkan untuk akun layanan Application Integration.
Kondisi resource IAM | Deskripsi |
---|---|
resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") |
Akun layanan tempat Anda menerapkan kondisi ini, hanya dapat menjalankan koneksi yang namanya diawali dengan marketing- . |
Langkah selanjutnya
Pelajari informasi berikut dalam dokumentasi IAM:
- Menambahkan binding peran bersyarat ke kebijakan
- Mengubah binding peran bersyarat yang ada
- Menghapus binding peran bersyarat