Questa pagina è stata tradotta dall'API Cloud Translation.

Condizioni IAM per l'accesso granulare

Questa pagina descrive come limitare l'accesso alle connessioni utilizzando le condizioni IAM.

Una condizione IAM consente di avere un controllo granulare sulle risorse di Integration Connectors. Per impostazione predefinita, un utente o un ruolo di Integration Connectors può eseguire tutte le operazioni supportate su una connessione. Utilizzando le condizioni IAM, puoi limitare un utente o un ruolo specifico a eseguire solo operazioni selezionate su una connessione. Ad esempio, puoi limitare un utente in modo che possa modificare solo le connessioni il cui nome inizia con test-connection e non avrà altre autorizzazioni sulle connessioni, ad esempio l'iscrizione agli eventi o la visualizzazione dei metadati dello schema.

Prima di iniziare

Integration Connectors utilizza Identity and Access Management (IAM) di Google Cloud per gestire i ruoli e le autorizzazioni per le risorse di Integration Connectors. Pertanto, prima di specificare o modificare le condizioni in IAM per le risorse Integration Connectors, acquisisci familiarità con i seguenti concetti IAM:

Aggiunta di condizioni IAM

Per aggiungere una condizione IAM a una risorsa Integration Connectors, devi disporre delle seguenti informazioni:

URI risorsa denominato: ogni risorsa in Integration Connectors ha un URI risorsa unico. Ad esempio, l'URI per la risorsa di connessione è projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Per l'elenco completo di tutti gli URI disponibili, consulta Risorse REST di Integration Connectors. Per controllare le autorizzazioni di accesso per una risorsa a livello granulare, devi assegnare un nome alla risorsa in base a una convenzione di denominazione. In base ai tuoi requisiti, puoi scegliere la convenzione di denominazione che vuoi utilizzare. Ad esempio, puoi anteporre la parola marketing- a tutte le connessioni di proprietà del team di marketing. In questo esempio, l'URI della risorsa per le connessioni del team di marketing inizierà con projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Autorizzazioni solo per i genitori: controlla se una risorsa o una delle relative risorse figlio richiede l'autorizzazione solo per i genitori. Per ulteriori informazioni, consulta Autorizzazioni solo per i genitori.

Tipo di risorsa: puoi restringere ulteriormente l'ambito delle risorse filtrando in base a un tipo di risorsa nella condizione. I connettori di integrazione supportano le condizioni per le seguenti risorse:

Nome risorsa	Tipo di risorsa
Connessione	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Nota: le risorse di Google Cloud hanno una struttura gerarchica e le autorizzazioni applicate a una risorsa principale non vengono propagate alle risorse secondarie della risorsa principale e viceversa le autorizzazioni applicate alle risorse secondarie non vengono applicate alla risorsa principale. Ad esempio, se hai limitato un utente ad accedere solo alle connessioni il cui nome inizia con marketing-, l'utente può comunque elencare (visualizzare) tutte le connessioni perché l'autorizzazione list è disponibile sulla risorsa principale (posizione) della connessione. Tuttavia, l'utente può eseguire operazioni di recupero, creazione, aggiornamento ed eliminazione solo sulle connessioni il cui nome inizia con marketing-.

Esempi

La seguente tabella elenca le condizioni delle risorse di esempio che puoi applicare a un utente o a un ruolo di Integration Connectors.

Condizione della risorsa IAM Descrizione

Condizione della risorsa IAM	Descrizione
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Un utente o un ruolo a cui applichi questa condizione può eseguire solo le seguenti operazioni: Elenca tutte le connessioni. Esegui operazioni di recupero, creazione, aggiornamento ed eliminazione sulle connessioni il cui nome inizia con `marketing-`.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Un utente o un ruolo a cui applichi questa condizione può eseguire solo le seguenti operazioni: Elenca tutte le connessioni. Esegui operazioni di acquisizione, creazione, aggiornamento ed eliminazione solo per le connessioni il cui nome inizia con `marketing-`. Visualizza i metadati dello schema di connessione solo per le connessioni il cui nome inizia con `marketing-`.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Un utente o un ruolo a cui applichi questa condizione può eseguire solo le seguenti operazioni:

Elenca tutte le connessioni.
Esegui operazioni di recupero, creazione, aggiornamento ed eliminazione sulle connessioni il cui nome inizia con marketing-.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Un utente o un ruolo a cui applichi questa condizione può eseguire solo le seguenti operazioni:

Elenca tutte le connessioni.
Esegui operazioni di acquisizione, creazione, aggiornamento ed eliminazione solo per le connessioni il cui nome inizia con marketing-.
Visualizza i metadati dello schema di connessione solo per le connessioni il cui nome inizia con marketing-.

Aggiunta di condizioni IAM per gli account di servizio di integrazione delle applicazioni

Puoi applicare le condizioni IAM all'account di servizio di integrazione delle applicazioni, in modo da limitare le connessioni a cui l'account di servizio può accedere durante l'esecuzione dell'integrazione. Ad esempio, puoi limitare un account di servizio in modo che possa accedere solo alle connessioni il cui nome inizia con marketing-. Per ulteriori informazioni, consulta Applicare condizioni IAM a un account di servizio.

La tabella seguente elenca le condizioni delle risorse di esempio che puoi applicare per un account di servizio di integrazione delle applicazioni.

Condizione della risorsa IAM	Descrizione
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	Il service account a cui applichi questa condizione può eseguire solo le connessioni il cui nome inizia con `marketing-`.

Nota: al momento, Integration Connectors supporta solo la limitazione startsWith per una condizione della risorsa dell'account di servizio.

Passaggi successivi

Consulta le seguenti informazioni nella documentazione di IAM: