Lihat konektor yang didukung untuk Application Integration.
Ringkasan kontrol akses
Saat membuat project Google Cloud, Anda adalah satu-satunya akun utama di project tersebut. Secara default, tidak ada akun utama lain (pengguna, grup, atau akun layanan) yang memiliki akses ke project Anda atau resource-nya. Setelah berhasil menyediakan Application Integration dalam project, Anda dapat menambahkan akun utama baru dan menetapkan kontrol akses untuk resource Application Integration.
Application Integration menggunakan Identity and Access Management (IAM) untuk mengelola kontrol akses dalam project Anda. Anda dapat menggunakan IAM untuk mengelola akses di level project atau resource:
- Untuk memberikan akses ke resource di level project, tetapkan satu atau beberapa peran ke akun utama.
- Untuk memberikan akses ke resource tertentu, tetapkan kebijakan IAM pada resource tersebut. Resource harus mendukung kebijakan level resource. Kebijakan ini menentukan peran mana yang ditetapkan ke akun utama tertentu.
Peran IAM
Setiap akun utama dalam project Google Cloud Anda diberi peran dengan izin tertentu. Saat menambahkan akun utama ke project atau resource, Anda harus menentukan peran mana yang akan diberikan kepada akun utama. Setiap peran IAM berisi kumpulan izin yang memungkinkan akun utama melakukan tindakan tertentu terhadap resource.
Untuk mengetahui informasi selengkapnya tentang berbagai jenis peran di IAM, baca Memahami peran.
Untuk mengetahui informasi tentang cara memberikan peran kepada akun utama, lihat Memberikan, mengubah, dan mencabut akses.
Application Integration menyediakan serangkaian peran IAM yang telah ditetapkan sebelumnya. Anda dapat menggunakan peran ini untuk memberikan akses ke resource Application Integration tertentu dan mencegah akses yang tidak diinginkan ke resource Google Cloud lainnya.
Akun layanan
Akun layanan adalah akun Google Cloud yang terkait dengan project Anda, yang dapat menjalankan tugas atau operasi atas nama Anda. Akun layanan diberi peran dan izin dengan cara yang sama seperti akun utama, menggunakan IAM. Untuk mengetahui informasi selengkapnya tentang akun layanan dan berbagai jenis akun layanan, lihat akun layanan IAM.
Anda harus memberikan peran IAM yang sesuai ke akun layanan untuk mengizinkan akun layanan tersebut mengakses metode API yang relevan. Saat Anda memberikan peran IAM ke akun layanan, setiap integrasi yang menyertakan akun layanan tersebut akan mendapatkan otorisasi yang diberikan oleh peran tersebut. Jika tidak ada peran standar untuk tingkat akses yang diinginkan, Anda dapat membuat dan memberikan peran khusus.
Application Integration menggunakan dua jenis akun layanan:
Akun layanan yang dikelola pengguna
Akun layanan yang dikelola pengguna dapat ditambahkan ke integrasi untuk memberikan kredensial untuk menjalankan tugas. Untuk informasi selengkapnya, lihat Akun layanan yang dikelola pengguna.
Otorisasi yang diberikan untuk integrasi dibatasi oleh dua konfigurasi terpisah: peran yang diberikan ke akun layanan yang terpasang, dan cakupan akses. Kedua konfigurasi ini harus mengizinkan akses sebelum integrasi dapat menjalankan tugas.
Akun layanan yang dikelola pengguna memiliki alamat email berikut:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Akun layanan default
Project Google Cloud baru yang telah menyediakan Application Integration memiliki akun layanan default Application Integration, yang memiliki alamat email berikut:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
Akun layanan default Application Integration dibuat selama penyediaan dan otomatis ditambahkan ke project Anda dengan peran dan izin IAM dasar. Untuk informasi selengkapnya, lihat Akun layanan default.
Untuk informasi tentang memberikan peran atau izin tambahan ke akun layanan default, lihat Memberikan, mengubah, dan mencabut akses.
Tambahkan akun layanan
Application Integration menyediakan dua cara untuk menambahkan akun layanan ke integrasi Anda:- Jika telah mengaktifkan tata kelola untuk wilayah Anda, Anda harus menambahkan akun layanan saat membuat integrasi baru.
- Jika belum mengaktifkan tata kelola, Anda dapat menambahkan akun layanan ke integrasi secara opsional. Untuk menambahkan akun layanan ke integrasi yang ada, lihat Mengedit dan melihat integrasi.
Aturan autentikasi
Jika integrasi Anda memiliki profil OAuth 2.0 dan akun layanan yang dikelola pengguna yang dikonfigurasi, maka secara default profil OAuth 2.0 digunakan untuk autentikasi. Jika profil OAuth 2.0 atau akun layanan yang dikelola pengguna tidak dikonfigurasi, akun layanan default (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com) akan digunakan. Jika tugas tidak menggunakan akun layanan default, eksekusi akan gagal.
Aturan otorisasi
Jika menambahkan akun layanan ke integrasi, Anda harus menentukan tingkat akses yang dimiliki akun layanan berdasarkan peran IAM yang Anda berikan ke akun layanan. Jika akun layanan tidak memiliki peran IAM, tidak ada resource yang dapat diakses menggunakan akun layanan.
Cakupan akses berpotensi membatasi lebih jauh akses ke metode API saat melakukan autentikasi melalui OAuth. Namun, autentikasi ini tidak mencakup protokol autentikasi lain seperti gRPC.
Peran IAM
Anda harus memberikan peran IAM yang sesuai ke akun layanan untuk mengizinkan akun layanan tersebut mengakses metode API yang relevan.
Saat Anda memberikan peran IAM ke akun layanan, setiap integrasi yang menyertakan akun layanan tersebut akan mendapatkan otorisasi yang diberikan oleh peran tersebut.
Access scopes
Cakupan akses adalah metode lama dari penetapan otorisasi untuk integrasi Anda. Library ini menentukan cakupan OAuth default yang digunakan dalam permintaan dari gcloud CLI atau library klien. Cakupan memungkinkan Anda menentukan izin akses untuk pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan dengan satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API. Untuk akun layanan yang dikelola pengguna, cakupannya telah ditetapkan sebelumnya ke cakupan berikut:
https://www.googleapis.com/auth/cloud-platform