Adicione condições do IAM
As condições da gestão de identidade e de acesso (IAM) permitem definir e aplicar o controlo de acesso condicional baseado em atributos para recursos do Google Cloud, incluindo recursos de integração de aplicações. Para mais informações sobre as condições do IAM, consulte o artigo Vista geral das condições do IAM.
Na integração de aplicações, pode aplicar o acesso condicional com base nos seguintes atributos:
- Atributos de data/hora: Use para definir o acesso temporário (com data de validade), agendado ou de duração limitada aos recursos de integração de aplicações. Por exemplo, pode permitir que um utilizador aceda a uma integração até uma data especificada. Para mais informações, consulte o artigo Configurar o acesso temporário.
- Atributos de recursos: Use para configurar o acesso condicional com base num nome de recurso, num tipo de recurso ou em atributos de serviço de recursos. Por exemplo, pode permitir que um utilizador faça a gestão de integrações criadas numa região específica. Para ver uma lista de valores suportados. Para mais informações, consulte o artigo Configurar o acesso baseado em recursos.
Adicione uma condição do IAM
Para adicionar uma condição de IAM a um principal existente (utilizador, grupo ou conta de serviço), siga estes passos:
- Na Google Cloud consola, aceda à página IAM.
- Selecione o seu projeto, pasta ou organização.
- Na lista de responsáveis, encontre o responsável para o qual quer adicionar a condição do IAM e clique em
(Editar responsável).
É apresentado o painel Editar acesso.
- Encontre a função à qual quer adicionar a condição do IAM e clique em + Adicionar condição do IAM.
- No painel Adicionar condição, faculte as seguintes informações:
- Título: introduza um nome para a condição que está a adicionar à função.
- Descrição: (opcional) introduza uma descrição para a condição.
- Pode adicionar uma condição através do criador de condições ou do editor de condições.
O Criador de condições oferece uma interface interativa para selecionar o tipo de condição, o operador e outros detalhes aplicáveis pretendidos sobre a expressão. O editor de condições oferece uma interface baseada em texto para introduzir manualmente uma expressão de condição através da sintaxe do CEL.
Para obter instruções detalhadas sobre como usar o criador de condições ou o editor de condições, consulte o artigo Configure o acesso baseado em recursos.
- Clique em Guardar para aplicar a condição.
Para obter informações sobre os atributos de recursos suportados para a integração de aplicações, consulte o artigo Valores dos atributos de recursos
- Clique novamente em Guardar no painel Editar acesso para atualizar o principal.
Valores dos atributos de recursos
A tabela seguinte lista os valores que o atributo de tipo de recurso pode conter para a integração de aplicações:
| Nome do recurso | Tipo do recurso | Referência |
|---|---|---|
| Localização | integrations.googleapis.com/Location
|
Referência da API |
| Integração | integrations.googleapis.com/Integration
|
Referência da API |
| IntegrationVersion | integrations.googleapis.com/IntegrationVersion
|
Referência da API |
| Execução | integrations.googleapis.com/Execution
|
Referência da API |
| Suspensão | integrations.googleapis.com/Suspension
|
Referência da API |
| AuthConfig | integrations.googleapis.com/AuthConfig
|
Referência da API |
Exemplos de utilização das condições da IAM para a solução Application Integration
Exemplo 1: limitar o acesso a qualquer recurso IntegrationVersion numa região
Pode usar a seguinte expressão de condição no editor de condições para limitar o acesso ao recurso IntegrationVersion. A limitação do acesso inclui a restrição das operações create, delete, download, get, list, patch, publish, unpublish e upload às versões de integração na região.
(resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/integrations/INTEGRATION_NAME")) ||
resource.type == "integrations.googleapis.com/Location" ||resource.type == "cloudresourcemanager.googleapis.com/Project"Substitua o seguinte:
PROJECT_ID: o ID do seu projeto do Google Cloud .LOCATION: a localização da integração. Consulte o artigo Localizações da solução Application Integration.INTEGRATION_NAME: nome da integração.
Exemplo 2: permitir o acesso a qualquer recurso IntegrationVersion numa região
Pode usar a seguinte expressão de condição no editor de condições para permitir o acesso ao recurso IntegrationVersion:
resource.name.startsWith("projects/PROJECT_ID/locations/LOCATION/") ||
resource.type == "integrations.googleapis.com/Location" ||
resource.type == "cloudresourcemanager.googleapis.com/Project"Substitua o seguinte:
PROJECT_ID: o ID do seu projeto do Google Cloud .LOCATION: a localização da integração. Para ver as localizações suportadas, consulte o artigo Localizações da integração de aplicações.