Halaman ini diterjemahkan oleh Cloud Translation API.

IAM Conditions untuk akses terperinci

Halaman ini menjelaskan cara membatasi akses ke koneksi Anda menggunakan IAM Conditions.

Kondisi IAM memungkinkan Anda memiliki kontrol terperinci atas resource Integration Connectors. Secara default, pengguna atau peran Konektor Integrasi dapat melakukan semua operasi yang didukung pada koneksi. Dengan menggunakan IAM Conditions, Anda dapat membatasi pengguna atau peran tertentu agar hanya melakukan operasi yang dipilih pada koneksi. Misalnya, Anda dapat membatasi pengguna sehingga pengguna hanya dapat mengubah koneksi yang namanya diawali dengan test-connection, dan tidak akan memiliki izin lain pada koneksi tersebut seperti berlangganan peristiwa, atau melihat metadata skema.

Sebelum memulai

Konektor Integrasi menggunakan Identity and Access Management (IAM) Google Cloud untuk mengelola peran dan izin untuk resource Konektor Integrasi. Oleh karena itu, sebelum menentukan atau mengubah kondisi di IAM untuk resource Konektor Integrasi, pahami konsep IAM berikut:

Menambahkan IAM Conditions

Untuk menambahkan kondisi IAM ke resource Konektor Integrasi, Anda memerlukan informasi berikut:

URI Resource Bernama - Setiap resource di Konektor Integrasi memiliki URI resource yang unik. Misalnya, URI untuk resource koneksi adalah projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Untuk mengetahui daftar lengkap semua URI yang tersedia, lihat Referensi REST Konektor Integrasi. Untuk mengontrol izin akses untuk resource di tingkat terperinci, Anda harus memberi nama resource sesuai dengan konvensi penamaan. Berdasarkan persyaratan, Anda dapat menentukan konvensi penamaan yang ingin digunakan. Misalnya, Anda dapat menambahkan awalan kata marketing- untuk semua koneksi yang dimiliki oleh tim pemasaran. Dalam contoh ini, URI resource untuk koneksi tim pemasaran akan dimulai dengan projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Izin khusus orang tua - Periksa apakah resource atau resource turunannya memerlukan izin khusus orang tua. Untuk informasi selengkapnya, lihat Izin khusus orang tua.

Resource type - Anda dapat mempersempit cakupan resource lebih lanjut dengan memfilter jenis resource dalam kondisi. Integration Connectors mendukung kondisi untuk resource berikut:

Nama fasilitas	Jenis resource
Koneksi	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Catatan: Resource Google Cloud memiliki struktur hierarkis, dan izin yang Anda terapkan ke resource induk tidak diterapkan ke resource turunan induk, dan sebaliknya, izin yang Anda terapkan ke resource turunan tidak berlaku untuk induk turunan. Misalnya, jika Anda telah membatasi pengguna untuk hanya mengakses koneksi yang namanya dimulai dengan marketing-, pengguna masih dapat mencantumkan (melihat) semua koneksi karena izin list tersedia di resource induk (lokasi) koneksi. Namun, pengguna hanya dapat melakukan operasi get, create, update, dan delete pada koneksi yang namanya diawali dengan marketing-.

Contoh

Tabel berikut mencantumkan contoh kondisi resource yang dapat Anda terapkan untuk pengguna atau peran Konektor Integrasi.

Kondisi resource IAM Deskripsi

Kondisi resource IAM	Deskripsi
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Pengguna atau peran yang Anda terapkan kondisi ini, hanya dapat melakukan operasi berikut: Mencantumkan semua koneksi. Lakukan operasi get, create, update, dan delete pada koneksi yang namanya diawali dengan `marketing-`.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Pengguna atau peran yang Anda terapkan kondisi ini, hanya dapat melakukan operasi berikut: Mencantumkan semua koneksi. Lakukan operasi get, create, update, dan delete hanya untuk koneksi yang namanya diawali dengan `marketing-`. Mendapatkan metadata skema koneksi hanya untuk koneksi yang namanya diawali dengan `marketing-`.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Pengguna atau peran yang Anda terapkan kondisi ini, hanya dapat melakukan operasi berikut:

Mencantumkan semua koneksi.
Lakukan operasi get, create, update, dan delete pada koneksi yang namanya diawali dengan marketing-.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Pengguna atau peran yang Anda terapkan kondisi ini, hanya dapat melakukan operasi berikut:

Mencantumkan semua koneksi.
Lakukan operasi get, create, update, dan delete hanya untuk koneksi yang namanya diawali dengan marketing-.
Mendapatkan metadata skema koneksi hanya untuk koneksi yang namanya diawali dengan marketing-.

Menambahkan Kondisi IAM untuk akun layanan Integrasi Aplikasi

Anda dapat menerapkan Kondisi IAM ke akun layanan Integrasi Aplikasi, yang memungkinkan Anda membatasi koneksi yang dapat diakses akun layanan selama eksekusi integrasi. Misalnya, Anda dapat membatasi akun layanan agar hanya dapat mengakses koneksi yang namanya diawali dengan marketing-. Untuk mengetahui informasi selengkapnya, lihat Menerapkan IAM Conditions ke akun layanan.

Tabel berikut mencantumkan contoh kondisi resource yang dapat Anda terapkan untuk akun layanan Integrasi Aplikasi.

Kondisi resource IAM	Deskripsi
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	Akun layanan tempat Anda menerapkan kondisi ini hanya dapat menjalankan koneksi yang namanya diawali dengan `marketing-`.

Catatan: Saat ini, Konektor Integrasi hanya mendukung batasan startsWith untuk kondisi resource akun layanan.

Langkah selanjutnya

Lihat informasi berikut dalam dokumentasi IAM: