Esta página foi traduzida pela API Cloud Translation.

Condições do IAM para acesso granular

Nesta página, descrevemos como restringir o acesso às suas conexões usando as condições do IAM.

Uma condição do IAM permite ter controle granular sobre os recursos dos Integration Connectors. Por padrão, um usuário ou uma função dos Integration Connectors pode realizar todas as operações com suporte em uma conexão. Com as Condições do IAM, é possível restringir um usuário ou papel específico para realizar apenas operações selecionadas em uma conexão. Por exemplo, é possível restringir um usuário para que ele só possa modificar as conexões cujo nome começa com test-connection e não tenha outras permissões, como assinar eventos ou visualizar os metadados do esquema.

Antes de começar

Os Integration Connectors usam o Identity and Access Management (IAM) do Google Cloud para gerenciar papéis e permissões dos recursos dos Integration Connectors. Portanto, antes de especificar ou modificar condições do IAM para seus recursos de Integration Connector, familiarize-se com os seguintes conceitos do IAM:

Como adicionar condições do IAM

Para adicionar uma condição do IAM a um recurso de Integration Connectors, você precisa das seguintes informações:

URI de recurso nomeado: cada recurso nos Integration Connectors tem um URI de recurso exclusivo. Por exemplo, o URI do recurso de conexão é projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Para conferir a lista completa de todos os URIs disponíveis, consulte Recursos REST dos Integration Connectors. Para controlar as permissões de acesso de um recurso em um nível granular, nomeie seu recurso de acordo com uma convenção de nomenclatura. Com base nos seus requisitos, você decide qual convenção de nomenclatura quer usar. Por exemplo, é possível prefixar a palavra marketing- para todas as conexões da equipe de marketing. Neste exemplo, o URI de recurso das conexões da equipe de marketing vai começar com projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Permissões somente para o pai: verifique se um recurso ou os recursos filhos dele exigem permissão somente para o pai. Para mais informações, consulte Permissões somente para pais.

Tipo de recurso: é possível restringir ainda mais o escopo dos recursos, filtrando um tipo de recurso na condição. Os Integration Connectors oferecem suporte a condições para os seguintes recursos:

Nome do recurso	Tipo de recurso
Conexão	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Observação : os recursos do Google Cloud têm uma estrutura hierárquica, e as permissões aplicadas a um recurso pai não se propagam para os recursos filhos. Da mesma forma, as permissões aplicadas a um recurso filho não se aplicam ao pai. Por exemplo, se você restringir um usuário a acessar apenas as conexões cujo nome comece com marketing-, ele ainda poderá listar (visualizar) todas as conexões porque a permissão list está disponível no recurso pai da conexão (localização). No entanto, o usuário só pode executar operações de leitura, criação, atualização e exclusão nas conexões com nome que começa com marketing-.

Examples

A tabela a seguir lista exemplos de condições de recurso que podem ser aplicadas a um usuário ou função dos Integration Connectors.

Condição de recurso do IAM Descrição

Condição de recurso do IAM	Descrição
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Um usuário ou uma função a quem você aplica essa condição só pode fazer as seguintes operações: Liste todas as conexões. Executar operações de recebimento, criação, atualização e exclusão em conexões com nome que começa com `marketing-`.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Um usuário ou uma função a quem você aplica essa condição só pode fazer as seguintes operações: Lista todas as conexões. Realize operações de recebimento, criação, atualização e exclusão somente para conexões com nome que começa com `marketing-`. Receba metadados do esquema de conexão somente para conexões com nomes que começam com `marketing-`.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Um usuário ou uma função a quem você aplica essa condição só pode fazer as seguintes operações:

Liste todas as conexões.
Executar operações de recebimento, criação, atualização e exclusão em conexões com nome que começa com marketing-.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Um usuário ou uma função a quem você aplica essa condição só pode fazer as seguintes operações:

Lista todas as conexões.
Realize operações de recebimento, criação, atualização e exclusão somente para conexões com nome que começa com marketing-.
Receba metadados do esquema de conexão somente para conexões com nomes que começam com marketing-.

Como adicionar condições do IAM a contas de serviço do Application Integration

É possível aplicar as condições do IAM à conta de serviço do Application Integration, o que permite restringir as conexões que a conta de serviço pode acessar durante a execução da integração. Por exemplo, é possível restringir uma conta de serviço para que ela só acesse conexões com nomes que começam com marketing-. Para mais informações, consulte Aplicar condições do IAM a uma conta de serviço.

A tabela a seguir lista exemplos de condições de recursos que podem ser aplicadas a uma conta de serviço de integração de aplicativos.

Condição de recurso do IAM	Descrição
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	A conta de serviço a que você aplica essa condição só pode executar conexões com nomes que começam com `marketing-`.

Observação : no momento, os Integration Connectors só oferecem suporte à restrição startsWith para uma condição de recurso de conta de serviço.

A seguir

Analise as seguintes informações na documentação do IAM: