Kondisi IAM untuk akses terperinci

Halaman ini menjelaskan cara membatasi akses ke koneksi Anda menggunakan Kondisi IAM.

Kondisi IAM memungkinkan Anda memiliki kontrol terperinci atas resource Integration Connectors. Secara default, pengguna atau peran Konektor Integrasi dapat melakukan semua operasi yang didukung pada koneksi. Dengan menggunakan IAM Conditions, Anda dapat membatasi pengguna atau peran tertentu untuk hanya melakukan operasi yang dipilih pada koneksi. Misalnya, Anda dapat membatasi pengguna sehingga pengguna hanya dapat mengubah koneksi yang namanya diawali dengan test-connection, dan tidak akan memiliki izin lain pada koneksi seperti berlangganan peristiwa, atau melihat metadata skema.

Sebelum memulai

Integration Connectors menggunakan Identity and Access Management (IAM) Google Cloud untuk mengelola peran dan izin untuk resource Integration Connectors. Oleh karena itu, sebelum menentukan atau mengubah kondisi di IAM untuk resource Integration Connectors, pahami konsep IAM berikut:

Menambahkan Kondisi IAM

Untuk menambahkan kondisi IAM ke resource Integration Connectors, Anda memerlukan informasi berikut:

URI Resource Bernama - Setiap resource di Integration Connectors memiliki URI resource yang unik. Misalnya, URI untuk resource koneksi adalah projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Untuk daftar lengkap semua URI yang tersedia, lihat resource REST Konektor Integrasi. Untuk mengontrol izin akses resource pada level terperinci, Anda harus memberi nama resource sesuai dengan konvensi penamaan. Berdasarkan persyaratan, Anda dapat menentukan konvensi penamaan yang ingin digunakan. Misalnya, Anda dapat menambahkan awalan kata marketing- untuk semua koneksi yang dimiliki oleh tim pemasaran. Dalam contoh ini, URI resource untuk koneksi tim pemasaran, akan dimulai dengan projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Izin khusus induk - Periksa apakah resource atau resource turunannya memerlukan izin khusus orang tua. Untuk informasi selengkapnya, lihat Izin khusus orang tua.

Jenis resource - Anda dapat lebih mempersempit cakupan resource dengan memfilter jenis resource dalam kondisi. Integration Connectors mendukung kondisi untuk resource berikut:

Nama fasilitas	Jenis aset
Koneksi	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Catatan: Resource Google Cloud memiliki struktur hierarkis, dan izin yang Anda terapkan pada resource induk tidak akan menyebar ke resource turunan induk, dan sebaliknya, izin yang Anda terapkan ke resource turunan tidak berlaku untuk resource induk turunan. Misalnya, jika Anda membatasi pengguna agar hanya mengakses koneksi yang namanya diawali dengan marketing-, pengguna tetap dapat mencantumkan (melihat) semua koneksi karena izin list tersedia pada resource induk koneksi (lokasi). Namun, pengguna hanya dapat melakukan operasi dapatkan, buat, perbarui, dan hapus pada koneksi yang namanya diawali dengan marketing-.

Contoh

Tabel berikut mencantumkan contoh kondisi resource yang dapat Anda terapkan untuk pengguna atau peran Integration Connectors.

Kondisi resource IAM Deskripsi

Kondisi resource IAM	Deskripsi
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Pengguna atau peran yang Anda terapkan kondisi ini hanya dapat melakukan operasi berikut: Mencantumkan semua koneksi. Melakukan operasi dapatkan, buat, perbarui, dan hapus pada koneksi yang namanya dimulai dengan `marketing-`.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Pengguna atau peran yang Anda terapkan kondisi ini hanya dapat melakukan operasi berikut: Menampilkan daftar semua koneksi. Melakukan operasi get, create, update, dan delete hanya untuk koneksi yang namanya diawali dengan `marketing-`. Mendapatkan metadata skema koneksi hanya untuk koneksi yang namanya diawali dengan `marketing-`.


(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Pengguna atau peran yang Anda terapkan kondisi ini hanya dapat melakukan operasi berikut:

Mencantumkan semua koneksi.
Melakukan operasi dapatkan, buat, perbarui, dan hapus pada koneksi yang namanya dimulai dengan marketing-.


(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection"
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Pengguna atau peran yang Anda terapkan kondisi ini hanya dapat melakukan operasi berikut:

Menampilkan daftar semua koneksi.
Melakukan operasi get, create, update, dan delete hanya untuk koneksi yang namanya diawali dengan marketing-.
Mendapatkan metadata skema koneksi hanya untuk koneksi yang namanya diawali dengan marketing-.

Menambahkan Kondisi IAM untuk akun layanan Application Integration

Anda dapat menerapkan IAM Conditions ke akun layanan Application Integration, yang memungkinkan Anda membatasi koneksi yang dapat diakses akun layanan selama eksekusi integrasi. Misalnya, Anda dapat membatasi akun layanan sehingga hanya dapat mengakses koneksi yang namanya dimulai dengan marketing-. Untuk informasi selengkapnya, lihat Menerapkan Kondisi IAM ke akun layanan.

Tabel berikut mencantumkan contoh kondisi resource yang dapat Anda terapkan untuk akun layanan Application Integration.

Kondisi resource IAM	Deskripsi
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	Akun layanan tempat Anda menerapkan kondisi ini, hanya dapat menjalankan koneksi yang namanya diawali dengan `marketing-`.

Catatan: Saat ini, Integration Connectors hanya mendukung batasan startsWith untuk kondisi resource akun layanan.

Langkah selanjutnya

Pelajari informasi berikut dalam dokumentasi IAM: