Condizioni IAM per un accesso granulare
Questa pagina descrive come limitare l'accesso alle connessioni utilizzando le condizioni IAM.
Una condizione IAM consente di avere un controllo granulare sulle risorse di Integration Connectors. Per impostazione predefinita,
un utente o un ruolo di Integration Connectors
può eseguire tutte le operazioni supportate su una connessione. Utilizzando le condizioni IAM, puoi limitare un utente o un ruolo specifico in modo che esegua solo operazioni selezionate su una connessione. Ad esempio, puoi limitare un utente in modo che possa modificare solo le connessioni il cui nome inizia con test-connection
e non abbia altre autorizzazioni sulle connessioni, come la sottoscrizione a eventi o la visualizzazione dei metadati dello schema.
Prima di iniziare
Integration Connectors utilizza Identity and Access Management (IAM) di Google Cloud per gestire i ruoli e le autorizzazioni per le risorse di Integration Connectors. Pertanto, prima di specificare o modificare le condizioni in IAM per le risorse di Integration Connectors, acquisisci familiarità con i seguenti concetti IAM:
- Risorsa
- Gerarchia delle risorse
- Ruoli
- Ruoli personalizzati
- Autorizzazioni
- Autorizzazioni solo per i genitori
Aggiunta di condizioni IAM
Per aggiungere una condizione IAM a una risorsa Integration Connectors, devi disporre delle seguenti informazioni:
- URI della risorsa denominata: ogni risorsa in Integration Connectors ha un URI della risorsa univoco. Ad esempio, l'URI della risorsa di connessione è
projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}
. Per l'elenco completo di tutti gli URI disponibili, vedi Risorse REST di Integration Connectors. Per controllare le autorizzazioni di accesso per una risorsa a livello granulare, devi assegnare alla risorsa un nome in base a una convenzione di denominazione. In base ai tuoi requisiti, puoi decidere la convenzione di denominazione che vuoi utilizzare. Ad esempio, puoi anteporre la parolamarketing-
a tutte le connessioni di proprietà del team di marketing. In questo esempio, l'URI della risorsa per le connessioni del team di marketing inizierà conprojects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-
. - Autorizzazioni solo per i genitori: controlla se una risorsa o le relative risorse figlio richiedono l'autorizzazione solo padre. Per maggiori informazioni, consulta la sezione Autorizzazioni solo per i genitori.
- Tipo di risorsa: puoi restringere ulteriormente l'ambito delle risorse filtrando in base a un tipo di risorsa nella condizione. Integration Connectors supporta le condizioni per le seguenti risorse:
Nome della risorsa Tipo di risorsa Connection connectors.googleapis.com/Connection ManagedZone connectors.googleapis.com/ManagedZone EndpointAttachment connectors.googleapis.com/EndpointAttachment EventSubscription connectors.googleapis.com/EventSubscription ConnectionSchemaMetadata connectors.googleapis.com/ConnectionSchemaMetadata
Esempi
La tabella seguente elenca le condizioni di esempio delle risorse che puoi applicare per un utente o un ruolo di Integration Connectors.
Condizione delle risorse IAM | Descrizione |
---|---|
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) || resource.type != "connectors.googleapis.com/Connection" |
Un utente o un ruolo a cui applichi questa condizione può eseguire solo le seguenti operazioni:
|
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") || (resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") || (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata") |
Un utente o un ruolo a cui applichi questa condizione può eseguire solo le seguenti operazioni:
|
Aggiunta di condizioni IAM per gli account di servizio di Application Integration
Puoi applicare le condizioni IAM all'account di servizio di Application Integration, in modo da limitare le connessioni a cui l'account di servizio può accedere durante l'esecuzione dell'integrazione. Ad esempio, puoi limitare un account di servizio in modo che possa accedere solo alle connessioni il cui nome inizia con marketing-
.
Per maggiori informazioni, consulta Applicare le condizioni IAM a un account di servizio.
La tabella seguente elenca le condizioni di esempio delle risorse che puoi applicare per un account di servizio Application Integration.
Condizione delle risorse IAM | Descrizione |
---|---|
resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") |
L'account di servizio a cui applichi questa condizione può eseguire solo le connessioni il cui nome inizia con marketing- . |
Passaggi successivi
Esamina le seguenti informazioni nella documentazione IAM:
- Aggiunta di un'associazione di ruoli condizionale a un criterio
- Modificare un'associazione di ruoli condizionale esistente
- Rimuovere un'associazione di ruoli condizionale