הוספת תנאים לניהול הזהויות והרשאות הגישה
התנאים של ניהול הזהויות והרשאות הגישה (IAM) מאפשרים לכם להגדיר ולאכוף בקרת גישה מותנית למשאבים ב-Google Cloud, על סמך מאפיינים, כולל משאבים של Application Integration. מידע נוסף על תנאי IAM מופיע במאמר סקירה כללית של תנאי IAM.
ב-Application Integration, אפשר לאכוף גישה מותנית על סמך המאפיינים הבאים:
- מאפייני תאריך/שעה: משמשים להגדרת גישה זמנית (עם תאריך תפוגה), מתוזמנת או לזמן מוגבל למשאבים של Application Integration. לדוגמה, אתם יכולים לאפשר למשתמש גישה לשילוב עד לתאריך מסוים. מידע נוסף זמין במאמר בנושא הגדרת גישה זמנית.
- מאפייני משאבים: משמשים להגדרת גישה מותנית על סמך מאפיינים של שם המשאב, סוג המשאב או שירות המשאב. לדוגמה, אפשר לאפשר למשתמש לנהל שילובים שנוצרו באזור ספציפי. רשימת הערכים הנתמכים מידע נוסף זמין במאמר הגדרת גישה לפי משאבים.
הוספת תנאי IAM
כדי להוסיף תנאי IAM לחשבון משתמש קיים (משתמש, קבוצה או חשבון שירות), מבצעים את השלבים הבאים:
- נכנסים לדף IAM במסוף Google Cloud .
- בוחרים את הפרויקט, התיקייה או הארגון.
- ברשימת החשבונות הראשיים, מוצאים את החשבון הראשי שרוצים להוסיף לו את תנאי ה-IAM ולוחצים על (Edit principal).
החלונית עריכת הגישה מופיעה.
- מחפשים את התפקיד שרוצים להוסיף לו את תנאי ה-IAM ולוחצים על + Add IAM Condition.
- בחלונית הוספת תנאי, מציינים את הפרטים הבאים:
- שם: מזינים שם לתנאי שמוסיפים לתפקיד.
- תיאור: (אופציונלי) מזינים תיאור לתנאי.
- אפשר להוסיף תנאי באמצעות הכלי להגדרת תנאים או באמצעות עורך התנאים.
הכלי להגדרת תנאים הוא ממשק אינטראקטיבי שבו בוחרים את סוג התנאי, האופרטור ופרטים רלוונטיים אחרים של הביטוי. עורך התנאים הוא ממשק מבוסס-טקסט שבו מזינים ידנית ביטוי של תנאי באמצעות תחביר CEL.
הוראות מפורטות לשימוש בכלי ליצירת תנאים או בכלי לעריכת תנאים זמינות במאמר הגדרת גישה מבוססת משאבים.
- לוחצים על Save כדי להחיל את התנאי.
מידע על מאפייני המשאבים שנתמכים ב-Application Integration זמין במאמר ערכים של מאפייני משאבים.
- לוחצים שוב על Save בחלונית גישת עריכה כדי לעדכן את הישות המורשית.
ערכי מאפיינים של משאבים
בטבלה הבאה מפורטים הערכים שיכולים להיות המאפיין של סוג המשאב ב-Application Integration:
| שם המשאב | סוג המשאב | חומרי עזר |
|---|---|---|
| מיקום | integrations.googleapis.com/Location
|
הפניית API |
| שילוב | integrations.googleapis.com/Integration
|
הפניית API |
| IntegrationVersion | integrations.googleapis.com/IntegrationVersion
|
הפניית API |
| הרצה | integrations.googleapis.com/Execution
|
הפניית API |
| השעיה | integrations.googleapis.com/Suspension
|
הפניית API |
| AuthConfig | integrations.googleapis.com/AuthConfig
|
הפניית API |
דוגמאות לשימוש בתנאי IAM עבור Application Integration
דוגמה 1: הגבלת הגישה לכל משאב IntegrationVersion באזור מסוים
אפשר להשתמש בביטוי התנאי הבא בעורך התנאים כדי להגביל את הגישה למשאב IntegrationVersion. הגבלת הגישה כוללת הגבלה של הפעולות create, delete, download, get, list, patch, publish, unpublish ו-upload לגרסאות השילוב באזור.
(resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/integrations/INTEGRATION_NAME")) ||
resource.type == "integrations.googleapis.com/Location" ||resource.type == "cloudresourcemanager.googleapis.com/Project"מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: המיקום של השילוב. מיקומי Application Integration -
INTEGRATION_NAME: שם השילוב.
דוגמה 2: מתן גישה לכל משאב IntegrationVersion באזור מסוים
אפשר להשתמש בביטוי התנאי הבא בעורך התנאים כדי לאפשר גישה למשאב IntegrationVersion:
resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/") ||
resource.type == "integrations.googleapis.com/Location" ||
resource.type == "cloudresourcemanager.googleapis.com/Project"מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: המיקום של השילוב. מידע על מיקומים נתמכים זמין במאמר מיקומים של Application Integration.