Consulta i connettori supportati per Application Integration.

Panoramica del controllo dell'accesso

Quando crei un progetto Google Cloud, sei l'unico utente principale del progetto. Per impostazione predefinita, nessun'altra entità (utenti, gruppi o account di servizio) ha accesso al progetto o alle relative risorse. Dopo aver eseguito il provisioning di Integration di app nel progetto, puoi aggiungere nuovi principali e impostare il controllo degli accessi per le risorse di Integration di app.

L'integrazione delle applicazioni utilizza Identity and Access Management (IAM) per gestire il controllo degli accessi all'interno del progetto. Puoi utilizzare IAM per gestire l'accesso a livello di progetto o di risorsa:

  • Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità.
  • Per concedere l'accesso a una risorsa specifica, imposta un criterio IAM su quella risorsa. La risorsa deve supportare i criteri a livello di risorsa. Il criterio definisce i ruoli assegnati alle entità.

Ruoli IAM

A ogni entità del tuo progetto Google Cloud viene concesso un ruolo con autorizzazioni specifiche. Quando aggiungi un'entità a un progetto o a una risorsa, specifichi i ruoli da concedere. Ogni ruolo IAM contiene un insieme di autorizzazioni che consente all'entità di eseguire azioni specifiche sulla risorsa.

Per ulteriori informazioni sui diversi tipi di ruoli in IAM, consulta Informazioni sui ruoli.

Per informazioni sulla concessione dei ruoli alle entità, consulta Concedere, modificare e revocare l'accesso.

Application Integration fornisce un insieme specifico di ruoli IAM predefiniti. Puoi utilizzare questi ruoli per fornire l'accesso a risorse Application Integration specifiche e impedire l'accesso indesiderato ad altre risorse Google Cloud.

Account di servizio

Gli account di servizio sono account Google Cloud associati al progetto che possono eseguire attività o operazioni per tuo conto. Agli account di servizio vengono assegnati ruoli e autorizzazioni allo stesso modo delle entità, tramite IAM. Per ulteriori informazioni sugli account di servizio e sui diversi tipi di account di servizio, consulta Account di servizio IAM.

Devi concedere i ruoli IAM appropriati a un account di servizio per consentire a questo account di servizio di accedere ai metodi API pertinenti. Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato l'account di servizio avrà l'autorizzazione conferita dal ruolo. Se non esiste un ruolo predefinito per il livello di accesso che preferisci, puoi creare e concedere ruoli personalizzati.

Application Integration utilizza due tipi di account di servizio:

Account di servizio gestito dall'utente

Un account di servizio gestito dall'utente può essere collegato a un'integrazione per fornire le credenziali per eseguire l'attività. Per ulteriori informazioni, vedi Account di servizio gestiti dall'utente.

L'autorizzazione fornita all'integrazione è limitata da due configurazioni distinte: i ruoli concessi all'account di servizio associato e gli ambiti di accesso. Entrambe queste configurazioni devono consentire l'accesso prima che l'integrazione possa eseguire l'attività.

Un account di servizio gestito dall'utente ha il seguente indirizzo email:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

Service account predefinito

I nuovi progetti Google Cloud per i quali è stato eseguito il provisioning di Integration di app hanno un account di servizio predefinito di Integration di app, con il seguente indirizzo email:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

L'account di servizio predefinito di Application Integration viene creato durante il provisioning e viene aggiunto automaticamente al progetto con i ruoli e le autorizzazioni IAM di base. Per ulteriori informazioni, vedi Account di servizio predefiniti.

Per informazioni su come concedere ruoli o autorizzazioni aggiuntivi all'account di servizio predefinito, vedi Concedere, modificare e revocare l'accesso.

Aggiungi un account di servizio

L'integrazione delle applicazioni offre due modi per aggiungere un account di servizio all'integrazione:

Regola di autenticazione

Se per l'integrazione sono stati configurati sia un profilo OAuth 2.0 sia un account di servizio gestito dall'utente, per l'autenticazione verrà utilizzato per impostazione predefinita il profilo OAuth 2.0. Se non è configurato né il profilo OAuth 2.0 né l'account di servizio gestito dall'utente, viene utilizzato l'account di servizio predefinito (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Se l'attività non utilizza l'account di servizio predefinito, l'esecuzione non riesce.

Regola di autorizzazione

Se colleghi un account di servizio all'integrazione, devi determinare il livello di accesso di cui dispone l'account di servizio dai ruoli IAM assegnati concedere all'account di servizio. Se l'account di servizio non ha ruoli IAM, nessuna risorsa può accessibile tramite l'account di servizio.

Gli ambiti di accesso potrebbero limitare ulteriormente l'accesso all'API durante l'autenticazione tramite OAuth. Tuttavia, non si estendono ad altri di autenticazione come gRPC.

Ruoli IAM

Devi concedere i ruoli IAM appropriati a un account di servizio per consentirgli di accedere ai metodi API pertinenti.

Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione all'account di servizio collegato avrà l'autorizzazione conferita da quel ruolo.

Ambiti di accesso

Gli ambiti di accesso sono il metodo legacy per specificare l'autorizzazione per l'integrazione. Definiscono gli ambiti OAuth predefiniti utilizzati nelle richieste dalla CLI gcloud o dalle librerie client. Gli ambiti ti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per ulteriori informazioni, consulta Ambiti OAuth 2.0 per le API di Google. Per gli account di servizio gestiti dall'utente, l'ambito è predefinito come segue:

https://www.googleapis.com/auth/cloud-platform