Consultez la liste des connecteurs compatibles avec Application Integration.
Présentation du contrôle des accès
Lorsque vous créez un projet Google Cloud, vous êtes le seul principal du projet. Par défaut, aucun autre compte principal (utilisateur, groupe ou compte de service) n'a accès à votre projet ni à ses ressources. Après avoir provisionné Application Integration dans votre projet, vous pouvez ajouter de nouveaux comptes principaux et définir le contrôle des accès pour vos ressources Application Integration.
Application Integration utilise Identity and Access Management (IAM) pour gérer le contrôle des accès au sein de votre projet. Vous pouvez utiliser IAM pour gérer l'accès au niveau du projet ou au niveau des ressources:
- Pour accorder l'accès aux ressources au niveau du projet, attribuez un ou plusieurs rôles à un compte principal.
- Pour accorder l'accès à une ressource spécifique, définissez une stratégie IAM sur cette ressource. La ressource doit être compatible avec les stratégies au niveau des ressources. La stratégie définit quels rôles sont attribués à chaque compte principal.
Rôles IAM
Chaque compte principal de votre projet Google Cloud se voit attribuer un rôle avec des autorisations spécifiques. Lorsque vous ajoutez un compte principal à un projet ou à une ressource, vous spécifiez les rôles à lui attribuer. Chaque rôle IAM contient un ensemble d'autorisations permettant au compte principal d'effectuer des actions spécifiques sur la ressource.
Pour en savoir plus sur les différents types de rôles dans IAM, consultez la page Comprendre les rôles.
Pour plus d'informations sur l'attribution de rôles aux comptes principaux, consultez la page Accorder, modifier et révoquer les accès.
Application Integration fournit un ensemble spécifique de rôles IAM prédéfinis. Vous pouvez utiliser ces rôles pour accorder l'accès à des ressources d'intégration d'applications spécifiques et empêcher tout accès indésirable à d'autres ressources Google Cloud.
Comptes de service
Les comptes de service sont des comptes Google Cloud associés à votre projet et pouvant effectuer des tâches ou des opérations en votre nom. Les comptes de service se voient attribuer des rôles et des autorisations de la même manière que les comptes principaux, à l'aide d'IAM. Pour en savoir plus sur les comptes de service et les différents types de comptes de service, consultez Comptes de service IAM.
Vous devez attribuer des rôles IAM appropriés à un compte de service pour lui permettre d'accéder aux méthodes d'API pertinentes. Lorsque vous attribuez un rôle IAM à un compte de service, l'autorisation accordée par ce rôle est attribuée à toute intégration à laquelle ce compte de service est associé. Si aucun rôle n'est prédéfini pour le niveau d'accès souhaité, vous pouvez créer et attribuer des rôles personnalisés.
Application Integration utilise deux types de comptes de service :
Compte de service géré par l'utilisateur
Un compte de service géré par l'utilisateur peut être associé à une intégration pour fournir des identifiants permettant d'exécuter la tâche. Pour en savoir plus, consultez Comptes de service gérés par l'utilisateur.
L'autorisation fournie à l'intégration est limitée par deux configurations distinctes : les rôles accordés au compte de service associé et les niveaux d'accès. Ces deux configurations doivent autoriser l'accès pour que l'intégration puisse exécuter la tâche.
L'adresse e-mail d'un compte de service géré par l'utilisateur est la suivante:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Compte de service par défaut
Les nouveaux projets Google Cloud dans lesquels Application Integration est provisionnée disposent d'un compte de service par défaut Application Integration, dont l'adresse e-mail est la suivante:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
Le compte de service par défaut Application Integration est créé lors du provisionnement et est automatiquement ajouté à votre projet avec les rôles et autorisations IAM de base. Pour en savoir plus, consultez la section Comptes de service par défaut.
Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires au compte de service par défaut, consultez la page Accorder, modifier et révoquer les accès.
Ajouter un compte de service
Application Integration propose deux méthodes pour ajouter un compte de service à votre intégration:- Si vous avez activé la gouvernance pour votre région, vous devez ajouter un compte de service lorsque vous créez une intégration.
- Si vous n'avez pas activé la gouvernance, vous pouvez ajouter un compte de service à votre l'intégration. Pour ajouter un compte de service à une intégration existante, consultez Modifier et afficher les intégrations.
Règle d'authentification
Si le profil OAuth 2.0 et un compte de service géré par l'utilisateur sont tous deux configurés pour votre intégration, le profil OAuth 2.0 est utilisé par défaut pour l'authentification. Lorsqu'aucun des deux n'est configuré, le compte de service par défaut (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
) est utilisé. Si la tâche n'utilise pas le compte de service par défaut, l'exécution échoue.
Règle d'autorisation
Si vous associez un compte de service à votre intégration, vous devez déterminer le niveau le niveau d'accès accordé au compte de service par les rôles IAM accorder au compte de service. Si le compte de service ne dispose d'aucun rôle IAM, aucune ressource ne peut sont accessibles à l'aide du compte de service.
Les niveaux d'accès peuvent limiter davantage l'accès aux méthodes d'API lors de l'authentification via OAuth. Toutefois, ils ne s'appliquent pas aux autres protocoles d'authentification, tels que gRPC.
Rôles IAM
Vous devez attribuer les rôles IAM appropriés à un compte de service pour lui permettre d'accéder aux méthodes API pertinentes.
Lorsque vous attribuez un rôle IAM à un compte de service, les autorisations que confère ce rôle sont accordées à toute intégration à laquelle ce compte de service est associé.
Niveaux d'accès
Les champs d'application d'accès représentent l'ancienne méthode de spécification des autorisations associées à votre intégration. Ils définissent les champs d'application OAuth par défaut utilisés dans les requêtes provenant de la CLI gcloud ou des bibliothèques clientes. Les niveaux d'accès vous permettent de spécifier des autorisations d'accès pour les utilisateurs. Vous pouvez spécifier plusieurs champs d'application en les séparant par un seul espace (" "). Pour en savoir plus, consultez Champs d'application OAuth 2.0 pour les API Google Pour les comptes de service gérés par l'utilisateur, l'étendue est prédéfinie sur la suivante :
https://www.googleapis.com/auth/cloud-platform