此页面由 Cloud Translation API 翻译。

用于精细访问权限的 IAM 条件

本页面介绍了如何使用 IAM Conditions 来限制对连接的访问权限。

通过 IAM 条件，您可以精细控制 Integration Connectors 资源。默认情况下，Integration Connectors 用户或角色可以对连接执行所有受支持的操作。通过使用 IAM Conditions，您可以限制特定用户或角色只能对连接执行所选操作。例如，您可以限制用户，使其只能修改名称以 test-connection 开头的连接，并且不会拥有对连接的其他权限，例如订阅事件或查看架构元数据。

准备工作

Integration Connectors 使用 Google Cloud 的 Identity and Access Management (IAM) 来管理 Integration Connectors 资源的角色和权限。因此，在 IAM 中为您的 Integration Connectors 资源指定或修改条件之前，请先熟悉以下 IAM 概念：

添加 IAM Conditions 条件

如需将 IAM 条件添加到 Integration Connectors 资源，您需要以下信息：

命名资源 URI - Integration Connectors 中的每个资源都有唯一的资源 URI。例如，连接资源的 URI 为 projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}。如需查看所有可用 URI 的完整列表，请参阅 Integration Connectors REST 资源。如需精细控制资源的访问权限，您必须根据命名惯例为资源命名。您可以根据需要决定要使用的命名惯例。例如，您可以为营销团队拥有的所有连接添加 marketing- 一词作为前缀。在此示例中，营销团队的连接的资源 URI 将以 projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing- 开头。
仅父级权限 - 检查资源或其任何子资源是否需要仅父级权限。如需了解详情，请参阅仅父级权限。

资源类型 - 您可以根据条件中的资源类型进行过滤，从而进一步缩小资源的范围。Integration Connectors 支持以下资源条件：

资源名称	资源类型
连接	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

注意： Google Cloud 的资源具有层次结构，您应用于父资源的权限不会传播到父资源的子资源，反之亦然，您应用于子资源的权限也不会应用于子资源的父资源。例如，如果您已限制用户只能访问名称以 marketing- 开头的连接，但用户仍然可以列出（查看）所有连接，因为连接的父资源（位置）具有 list 权限。不过，用户只能对名称以 marketing- 开头的连接执行获取、创建、更新和删除操作。

示例

下表列出了可为 Integration Connectors 用户或角色应用的资源条件示例。

IAM 资源条件说明

IAM 资源条件	说明
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	应用此条件的用户或角色只能执行以下操作：列出所有连接。对名称以 `marketing-` 开头的连接执行获取、创建、更新和删除操作。
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	应用此条件的用户或角色只能执行以下操作：列出所有连接。仅针对名称以 `marketing-` 开头的连接执行获取、创建、更新和删除操作。仅针对名称以 `marketing-` 开头的连接获取连接架构元数据。

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

应用此条件的用户或角色只能执行以下操作：

列出所有连接。
对名称以 marketing- 开头的连接执行获取、创建、更新和删除操作。

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

应用此条件的用户或角色只能执行以下操作：

列出所有连接。
仅针对名称以 marketing- 开头的连接执行获取、创建、更新和删除操作。
仅针对名称以 marketing- 开头的连接获取连接架构元数据。

为 Application Integration 服务账号添加 IAM Conditions 条件

您可以将 IAM 条件应用于 Application Integration 服务账号，以便限制该服务账号在集成执行期间可以访问的连接。例如，您可以限制某个服务账号，使其只能访问名称以 marketing- 开头的连接。如需了解详情，请参阅将 IAM 条件应用于服务账号。

下表列出了可为 Application Integration 服务账号应用的示例资源条件。

IAM 资源条件	说明
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	应用此条件的服务账号只能运行名称以 `marketing-` 开头的连接。

注意： 目前，Integration Connectors 仅支持服务账号资源条件的 startsWith 限制。

后续步骤

浏览 IAM 文档中的以下信息：