本頁面由 Cloud Translation API 翻譯而成。

精細存取權的 IAM 條件

本頁面說明如何使用 IAM 條件限制連線存取權。

您可以透過 IAM 條件，精細控管 Integration Connectors 資源。根據預設，整合連接器使用者或角色可以對連線執行所有支援的作業。使用 IAM 條件，您可以限制特定使用者或角色只能對連線執行選定的作業。舉例來說，您可以限制使用者只能修改名稱開頭為 test-connection 的連線，且不得對連線執行其他操作，例如訂閱事件或查看結構定義中繼資料。

事前準備

Integration Connectors 會使用 Google Cloud 的 Identity and Access Management (IAM)，管理 Integration Connectors 資源的角色和權限。因此，在為 Integration Connectors 資源指定或修改 IAM 中的條件之前，請先熟悉下列 IAM 概念：

新增 IAM 條件

如要為 Integration Connectors 資源新增 IAM 條件，您需要下列資訊：

具名資源 URI - Integration Connectors 中的每個資源都有專屬的資源 URI。舉例來說，連線資源的 URI 為 projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}。如需所有可用 URI 的完整清單，請參閱「Integration Connectors REST 資源」。如要精細控管資源的存取權，您必須按照命名慣例為資源命名。您可以根據需求決定要使用的命名慣例。舉例來說，您可以為行銷團隊擁有的所有連結加上 marketing- 字首。在本例中，行銷團隊連線的資源 URI 會以 projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing- 開頭。
僅限家長權限 - 檢查資源或任何子資源是否需要僅限家長的權限。詳情請參閱「僅限家長使用的權限」。

資源類型 - 您可以在條件中篩選資源類型，進一步縮小資源範圍。整合連接器支援下列資源的條件：

資源名稱	資源類型
連線	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

注意： Google Cloud 資源具有階層式結構，您套用至父項資源的權限不會傳播至父項的子項資源，反之亦然。舉例來說，如果您限制使用者只能存取名稱開頭為 marketing- 的連線，使用者仍可列出 (查看) 所有連線，因為連線的父項資源 (位置) 提供 list 權限。不過，使用者只能對名稱開頭為 marketing- 的連線執行 get、建立、更新和刪除作業。

範例

下表列出可套用至 Integration Connectors 使用者或角色的範例資源條件。

IAM 資源條件說明

IAM 資源條件	說明
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	套用這項條件的使用者或角色只能執行下列作業：列出所有連線。對名稱開頭為 `marketing-` 的連線執行取得、建立、更新及刪除作業。
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	套用這項條件的使用者或角色只能執行下列作業：列出所有連線。僅針對名稱開頭為 `marketing-` 的連線執行取得、建立、更新及刪除作業。取得連線結構定義中繼資料 (僅限名稱開頭為 `marketing-` 的連線)。

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

套用這項條件的使用者或角色只能執行下列作業：

列出所有連線。
對名稱開頭為 marketing- 的連線執行取得、建立、更新及刪除作業。

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

套用這項條件的使用者或角色只能執行下列作業：

列出所有連線。
僅針對名稱開頭為 marketing- 的連線執行取得、建立、更新及刪除作業。
取得連線結構定義中繼資料 (僅限名稱開頭為 marketing- 的連線)。

為 Application Integration 服務帳戶新增 IAM 條件

您可以對 Application Integration 服務帳戶套用 IAM 條件，限制服務帳戶在整合執行期間可存取的連線。舉例來說，您可以限制服務帳戶，使其只能存取名稱開頭為 marketing- 的連線。詳情請參閱將 IAM 條件套用至服務帳戶。

下表列出可套用至 Application Integration 服務帳戶的範例資源條件。

IAM 資源條件	說明
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	套用這項條件的服務帳戶只能執行名稱開頭為 `marketing-` 的連線。

注意： 目前 Integration Connectors 僅支援服務帳戶資源條件的 startsWith 限制。

後續步驟

請詳閱 IAM 說明文件中的下列資訊：