Condizioni IAM per l'accesso granulare
Questa pagina descrive come limitare l'accesso alle connessioni utilizzando le condizioni IAM.
Una condizione IAM
ti consente di avere un controllo granulare sulle risorse di Integration Connectors. Per impostazione predefinita,
un utente o un ruolo di connettori di integrazione
può eseguire tutte le operazioni supportate su una connessione. Utilizzando le condizioni IAM, puoi
limitare un utente o un ruolo specifico a eseguire solo le operazioni selezionate su una connessione. Ad esempio, puoi limitare un utente
in modo che possa modificare solo le connessioni il cui nome inizia con
test-connection
e non disporrà di altre autorizzazioni per le connessioni, ad esempio
l'iscrizione agli eventi o la visualizzazione dei metadati dello schema.
Prima di iniziare
Integration Connectors utilizza Identity and Access Management (IAM) di Google Cloud per gestire ruoli e autorizzazioni per le risorse di Integration Connectors. Pertanto, prima di specificare o modificare le condizioni in IAM per le risorse di Integration Connectors, acquisisci familiarità con i seguenti concetti di IAM:
- Risorsa
- Gerarchia delle risorse
- Ruoli
- Ruoli personalizzati
- Autorizzazioni
- Autorizzazioni solo per i genitori
Aggiunta di condizioni IAM
Per aggiungere una condizione IAM a una risorsa Integration Connectors, sono necessarie le seguenti informazioni:
- URI risorsa denominata: ogni risorsa in Integration Connectors ha un URI risorsa univoco. Ad esempio, l'URI per la risorsa di connessione è
projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}
. Per l'elenco completo di tutti gli URI disponibili, consulta Risorse REST di Integration Connectors. Per controllare le autorizzazioni di accesso per una risorsa a un livello granulare, devi denominare la risorsa in base a una convenzione di denominazione. In base ai tuoi requisiti, puoi decidere la convenzione di denominazione che vuoi utilizzare. Ad esempio, puoi aggiungere il prefissomarketing-
a tutte le connessioni di proprietà del team di marketing. In questo esempio, l'URI delle risorse per le connessioni del team di marketing inizierà conprojects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-
. - Autorizzazioni solo per i genitori: controlla se una risorsa o una delle relative risorse figlio richiede l'autorizzazione solo per i genitori. Per maggiori informazioni, vedi Autorizzazioni solo per i genitori.
- Tipo di risorsa: puoi restringere ulteriormente l'ambito delle risorse filtrando in base a un tipo di risorsa nella condizione. Integration Connectors supporta le condizioni per le seguenti risorse:
Nome risorsa Tipo di risorsa Connessione connectors.googleapis.com/Connection ManagedZone connectors.googleapis.com/ManagedZone EndpointAttachment connectors.googleapis.com/EndpointAttachment EventSubscription connectors.googleapis.com/EventSubscription ConnectionSchemaMetadata connectors.googleapis.com/ConnectionSchemaMetadata
Esempi
La seguente tabella elenca le condizioni delle risorse di esempio che puoi applicare a un utente o a un ruolo di Integration Connectors.
Condizione della risorsa IAM | Descrizione |
---|---|
(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection" |
Un utente o un ruolo a cui applichi questa condizione può eseguire solo le seguenti operazioni:
|
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") || (resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") || (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata") |
Un utente o un ruolo a cui applichi questa condizione può eseguire solo le seguenti operazioni:
|
Aggiunta di condizioni IAM per gli account di servizio di Application Integration
Puoi applicare le condizioni IAM al service account del servizio Application Integration, il che ti consente di limitare le connessioni
a cui il account di servizio può accedere durante l'esecuzione dell'integrazione. Ad esempio, puoi limitare un account di servizio in modo che possa accedere solo alle connessioni il cui nome inizia con marketing-
.
Per maggiori informazioni, vedi Applicare le condizioni IAM
a un service account.
La seguente tabella elenca le condizioni delle risorse di esempio che puoi applicare a un service account di servizio Application Integration.
Condizione della risorsa IAM | Descrizione |
---|---|
resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/ connections/marketing-") |
Il account di servizio a cui applichi questa condizione può eseguire solo le connessioni il cui nome inizia con marketing- . |
Passaggi successivi
Consulta le seguenti informazioni nella documentazione IAM:
- Aggiungere un'associazione di ruolo condizionale a una policy
- Modificare un'associazione di ruoli condizionale esistente
- Rimozione di un'associazione di ruolo condizionale