Esta página foi traduzida pela API Cloud Translation.

Condições do IAM para acesso detalhado

Esta página descreve como restringir o acesso às suas associações através das condições do IAM.

Uma condição da IAM permite-lhe ter um controlo detalhado sobre os recursos dos Integration Connectors. Por predefinição, um utilizador ou uma função dos Conectores de integração pode executar todas as operações suportadas numa associação. Ao usar as condições do IAM, pode restringir um utilizador específico ou uma função para fazer apenas operações selecionadas numa ligação. Por exemplo, pode restringir um utilizador de modo que só possa modificar as associações cujo nome comece por test-connection e não tenha outras autorizações nas associações, como subscrever eventos ou ver os metadados do esquema.

Antes de começar

O Integration Connectors usa a Identity and Access Management (IAM) do Google Cloud para gerir funções e autorizações para recursos do Integration Connectors. Por conseguinte, antes de especificar ou modificar as condições no IAM para os recursos dos Integration Connectors, familiarize-se com os seguintes conceitos do IAM:

Adicionar condições do IAM

Para adicionar uma condição do IAM a um recurso do Integration Connectors, precisa das seguintes informações:

URI do recurso com nome: cada recurso nos Integration Connectors tem um URI do recurso exclusivo. Por exemplo, o URI do recurso de associação é projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/{connection_name}. Para ver a lista completa de todos os URIs disponíveis, consulte os recursos REST dos conectores de integração. Para controlar as autorizações de acesso de um recurso ao nível detalhado, tem de atribuir um nome ao recurso de acordo com uma convenção de nomenclatura. Com base nos seus requisitos, pode decidir a convenção de nomenclatura que quer usar. Por exemplo, pode adicionar o prefixo marketing- à palavra para todas as associações pertencentes à equipa de marketing. Neste exemplo, o URI do recurso para as associações da equipa de marketing começa com projects/PROJECT_ID/locations/CONNECTION_LOCATION/connections/marketing-.
Autorizações apenas para pais: verifique se um recurso ou qualquer um dos respetivos recursos subordinados requer a autorização apenas para pais. Para mais informações, consulte o artigo Autorizações apenas para pais.

Tipo de recurso: pode restringir ainda mais o âmbito dos recursos filtrando por um tipo de recurso na condição. Os conetores de integração suportam condições para os seguintes recursos:

Nome do recurso	Tipo do recurso
Connection	connectors.googleapis.com/Connection
ManagedZone	connectors.googleapis.com/ManagedZone
EndpointAttachment	connectors.googleapis.com/EndpointAttachment
EventSubscription	connectors.googleapis.com/EventSubscription
ConnectionSchemaMetadata	connectors.googleapis.com/ConnectionSchemaMetadata

Nota: os recursos do Google Cloud têm uma estrutura hierárquica e as autorizações que aplica a um recurso principal não se propagam aos recursos secundários do principal e, inversamente, as autorizações que aplica a recursos secundários não se aplicam ao principal do secundário. Por exemplo, se tiver restringido um utilizador para aceder apenas às associações cujo nome comece por marketing-, o utilizador pode continuar a listar (ver) todas as associações porque a autorização list está disponível no recurso principal da associação (localização). No entanto, o utilizador só pode realizar operações de obtenção, criação, atualização e eliminação nas associações cujo nome comece por marketing-.

Exemplos

A tabela seguinte apresenta as condições de recursos de exemplo que pode aplicar a um utilizador ou a uma função do Integration Connectors.

Condição de recurso do IAM Descrição

Condição de recurso do IAM	Descrição
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection")) \|\| resource.type != "connectors.googleapis.com/Connection"	Um utilizador ou uma função à qual aplica esta condição só pode realizar as seguintes operações: Indique todas as ligações. Realizar operações de obtenção, criação, atualização e eliminação em associações cujo nome comece por `marketing-`.
(resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") \|\| (resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata") \|\| (resource.type != "connectors.googleapis.com/Connection" && resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")	Um utilizador ou uma função à qual aplica esta condição só pode realizar as seguintes operações: Liste todas as associações. Realizar operações de obtenção, criação, atualização e eliminação apenas para associações cujo nome comece por `marketing-`. Obtenha metadados do esquema de associação apenas para associações cujo nome comece por `marketing-`.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection"))
|| resource.type != "connectors.googleapis.com/Connection"

Um utilizador ou uma função à qual aplica esta condição só pode realizar as seguintes operações:

Indique todas as ligações.
Realizar operações de obtenção, criação, atualização e eliminação em associações cujo nome comece por marketing-.

(resource.name.startsWith
("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/Connection") ||
(resource.name.startsWith ("projects/PROJECT_ID/locations/CONNECTION_LOCATION/
connections/marketing-") && resource.type == "connectors.googleapis.com/ConnectionSchemaMetadata")
|| (resource.type != "connectors.googleapis.com/Connection" 
&& resource.type != "connectors.googleapis.com/ConnectionSchemaMetadata")

Um utilizador ou uma função à qual aplica esta condição só pode realizar as seguintes operações:

Liste todas as associações.
Realizar operações de obtenção, criação, atualização e eliminação apenas para associações cujo nome comece por marketing-.
Obtenha metadados do esquema de associação apenas para associações cujo nome comece por marketing-.

Adicionar condições do IAM para contas de serviço de integração de aplicações

Pode aplicar condições da IAM à conta de serviço da integração de aplicações, o que lhe permite restringir as ligações às quais a conta de serviço pode aceder durante a execução da integração. Por exemplo, pode restringir uma conta de serviço de modo que só possa aceder a ligações cujo nome comece por marketing-. Para mais informações, consulte o artigo Aplique condições do IAM a uma conta de serviço.

A tabela seguinte lista as condições de recursos de exemplo que pode aplicar a uma conta de serviço da Application Integration.

Condição de recurso do IAM	Descrição
resource.name.startsWith ("projects/`PROJECT_ID`/locations/`CONNECTION_LOCATION`/ connections/marketing-")	A conta de serviço à qual aplica esta condição só pode executar as ligações cujo nome comece por `marketing-`.

Nota: atualmente, os Integration Connectors suportam apenas a restrição startsWith para uma condição de recurso de conta de serviço.

O que se segue?

Consulte as seguintes informações na documentação do IAM: