Consulta i connettori supportati per Application Integration.

Panoramica del controllo dell'accesso

Quando crei un progetto Google Cloud , sei l'unico amministratore del progetto. Per impostazione predefinita, nessun'altra entità (utenti, gruppi o account di servizio) ha accesso al progetto o alle sue risorse. Dopo aver eseguito il provisioning di Application Integration nel tuo progetto, puoi aggiungere nuovi principali e impostare controllo dell'accesso per le risorse di Application Integration.

L'Application Integration utilizza Identity and Access Management (IAM) per gestire controllo dell'accesso all'interno del progetto. Puoi utilizzare IAM per gestire l'accesso a livello di progetto o di risorsa:

  • Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità.
  • Per concedere l'accesso a una risorsa specifica, imposta un criterio IAM su quella risorsa. La risorsa deve supportare i criteri a livello di risorsa. Il criterio definisce i ruoli assegnati alle entità.

Ruoli IAM

A ogni entità nel progetto Google Cloud viene assegnato un ruolo con autorizzazioni specifiche. Quando aggiungi un'entità a un progetto o a una risorsa, specifichi i ruoli da concederle. Ogni ruolo IAM contiene un insieme di autorizzazioni che consente all'entità di eseguire azioni specifiche sulla risorsa.

Per saperne di più sui diversi tipi di ruoli in IAM, consulta Informazioni sui ruoli.

Per informazioni sulla concessione di ruoli alle entità, consulta Concedere, modificare e revocare l'accesso.

Application Integration fornisce un insieme specifico di ruoli IAM predefiniti. Puoi utilizzare questi ruoli per fornire l'accesso a risorse specifiche di Application Integration e impedire l'accesso indesiderato ad altre risorse Google Cloud.

Account di servizio

Gli account di servizio sono account Google Cloud associati al tuo progetto che possono eseguire attività o operazioni per tuo conto. Gli account di servizio sono assegnati a ruoli e autorizzazioni nello stesso modo dei principali, utilizzando IAM. Per ulteriori informazioni sugli account di servizio e sui diversi tipi di account di servizio, consulta Account di servizio IAM.

Devi concedere i ruoli IAM appropriati a un account di servizio per consentire a questo account di servizio di accedere ai metodi API pertinenti. Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato l'account di servizio avrà l'autorizzazione conferita dal ruolo. Se non esiste un ruolo predefinito per il livello di accesso che ti interessa, puoi creare e concedere ruoli personalizzati.

L'Application Integration utilizza due tipi di account di servizio:

Account di servizio gestito dall'utente

Un account di servizio gestito dall'utente può essere associato a un'integrazione per fornire le credenziali necessarie per eseguire l'attività. Per ulteriori informazioni, consulta Account di servizio gestiti dall'utente.

L'autorizzazione fornita all'integrazione è limitata da due configurazioni distinte: i ruoli concessi all'account di servizio associato e gli ambiti di accesso. Entrambe le configurazioni devono consentire l'accesso prima che l'integrazione possa eseguire l'attività.

Un account di servizio gestito dall'utente ha il seguente indirizzo email:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

Service account predefinito

I nuovi progetti Google Cloud per i quali è stato eseguito il provisioning di Application Integration hanno un account di servizio predefinito di Application Integration con il seguente indirizzo email:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

L'account di servizio predefinito di Integration for Applications viene creato durante il provisioning e aggiunto automaticamente al progetto con i ruoli e le autorizzazioni IAM di base. Per saperne di più, consulta Account di servizio predefiniti.

Per informazioni su come concedere ruoli o autorizzazioni aggiuntivi all'account di servizio predefinito, vedi Concedere, modificare e revocare l'accesso.

Aggiungi un account di servizio

L'Application Integration offre due modi per aggiungere un account di servizio all'integrazione:

Regola di autenticazione

Se per l'integrazione sono configurati sia il profilo OAuth 2.0 sia un account di servizio gestito dall'utente, per impostazione predefinita viene utilizzato il profilo OAuth 2.0 per l'autenticazione. Se non sono configurati né il profilo OAuth 2.0 né l'account di servizio gestito dall'utente, viene utilizzato l'account di servizio predefinito (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Se l'attività non utilizza l'account di servizio predefinito, l'esecuzione non va a buon fine.

Regola di autorizzazione

Se colleghi un account di servizio all'integrazione, devi determinare il livello di accesso dell'account di servizio in base ai ruoli IAM che concedi all'account di servizio. Se l'account di servizio non ha ruoli IAM, non è possibile accedere a nessuna risorsa utilizzando l'account di servizio.

Gli ambiti di accesso possono limitare ulteriormente l'accesso ai metodi API durante l'autenticazione tramite OAuth. Tuttavia, non si applicano ad altri protocolli di autenticazione come gRPC.

Ruoli IAM

Devi concedere i ruoli IAM appropriati a un account di servizio per consentire a questo account di servizio di accedere ai metodi API pertinenti.

Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato quell'account di servizio avrà l'autorizzazione conferita dal ruolo.

Ambiti di accesso

Gli ambiti di accesso sono il metodo legacy per specificare l'autorizzazione per l'integrazione. Definiscono gli ambiti OAuth predefiniti utilizzati nelle richieste dallgcloud CLI o dalle librerie client. Gli ambiti ti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per ulteriori informazioni, consulta Ambiti OAuth 2.0 per le API di Google. Per gli account di servizio gestiti dall'utente, l'ambito è predefinito come segue:

https://www.googleapis.com/auth/cloud-platform