Consulta los conectores compatibles con Application Integration.
Descripción general del control de acceso
Cuando creas un proyecto de Google Cloud, eres la única principal del proyecto. De forma predeterminada, ningún otro principal (usuario, grupo o cuenta de servicio) tiene acceso a tu proyecto ni a sus recursos. Después de aprovisionar correctamente la integración de aplicaciones en tu proyecto, puedes agregar principales nuevos y configurar el control de acceso para tus recursos de integración de aplicaciones.
Application Integration usa Identity and Access Management (IAM) para administrar el control de acceso dentro de tu proyecto. Puedes usar IAM para administrar el acceso a nivel de proyecto o a nivel de recurso:
- Para otorgar acceso a los recursos a nivel del proyecto, asigna uno o más roles a una principal.
- Para otorgar acceso a un recurso específico, establece una política de IAM en ese recurso. El recurso debe admitir políticas a nivel de recursos. La política define qué funciones se asignan a qué principales.
Funciones de IAM
A cada principal en tu proyecto de Google Cloud se le otorga un rol con permisos específicos. Cuando agregas una principal a un proyecto o recurso, debes especificar qué roles le otorgas. Cada rol de IAM contiene un conjunto de permisos que permiten a la principal realizar acciones específicas en el recurso.
Para obtener más información sobre los diferentes tipos de roles en IAM, consulta Comprende los roles.
Para obtener información sobre cómo otorgar roles a las principales, consulta Otorga, cambia y revoca acceso.
Application Integration proporciona un conjunto específico de roles de IAM predefinidos. Puedes usar estos roles para proporcionar acceso a recursos específicos de Integration Services y evitar el acceso no deseado a otros recursos de Google Cloud.
Cuentas de servicio
Las cuentas de servicio son cuentas de Google Cloud asociadas con tu proyecto que pueden realizar tareas o operaciones en tu nombre. A las cuentas de servicio se les asignan roles y permisos de la misma manera que a las principales, mediante IAM. Para obtener más información sobre las cuentas de servicio y los diferentes tipos de cuentas de servicio, consulta Cuentas de servicio de IAM.
Debes otorgar los roles de IAM apropiados a una cuenta de servicio para permitir que esa cuenta acceda a los métodos de la API relevantes. Cuando otorgas un rol de IAM a una cuenta de servicio, cualquier integración que tenga esa cuenta de servicio adjunta tendrá la autorización que le otorgará ese rol. Si no hay un rol predefinido para el nivel de acceso que deseas, puedes crear y otorgar roles personalizados.
Application Integration usa dos tipos de cuentas de servicio:
Cuenta de servicio administrada por el usuario
Se puede conectar una cuenta de servicio administrada por el usuario a una integración para proporcionar credenciales para ejecutar la tarea. Para obtener más información, consulta Cuentas de servicio administradas por el usuario.
La autorización proporcionada a la integración está limitada por dos configuraciones distintas: los roles otorgados a la cuenta de servicio conectada y los permisos de acceso. Ambas configuraciones deben permitir el acceso para que la integración pueda ejecutar la tarea.
Una cuenta de servicio administrada por el usuario tiene la siguiente dirección de correo electrónico:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Cuenta de servicio predeterminada
Los proyectos de Google Cloud nuevos que aprovisionaron Application Integration tienen una cuenta de servicio predeterminada de Application Integration, que tiene la siguiente dirección de correo electrónico:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
La cuenta de servicio predeterminada de Application Integration se crea durante el aprovisionamiento y se agrega automáticamente a tu proyecto con los roles y permisos de IAM básicos. Para obtener más información, consulta Cuentas de servicio predeterminadas.
Para obtener información sobre cómo otorgar roles o permisos adicionales a la cuenta de servicio predeterminada, consulta Cómo otorgar, cambiar y revocar el acceso.
Agregar una cuenta de servicio
Application Integration proporciona dos maneras de agregar una cuenta de servicio a tu integración:- Si habilitaste la administración para tu región, debes agregar una cuenta de servicio mientras creas una integración nueva.
- Si no habilitaste la gobernanza, puedes agregar una cuenta de servicio a tu integración de manera opcional. Para agregar una cuenta de servicio a una integración existente, consulta Cómo editar y ver integraciones.
Regla de autenticación
Si tu integración tiene configurados un perfil de OAuth 2.0 y una cuenta de servicio administrada por el usuario, de forma predeterminada, el perfil de OAuth 2.0 se usa para la autenticación. Si no se configura el perfil de OAuth 2.0 ni la cuenta de servicio administrada por el usuario, se usa la cuenta de servicio predeterminada (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Si la tarea no usa la cuenta de servicio predeterminada, la ejecución fallará.
Regla de autorización
Si conectas una cuenta de servicio a tu integración, debes determinar el nivel de acceso que tiene la cuenta de servicio mediante los roles de IAM que otorgar a la cuenta de servicio. Si la cuenta de servicio no tiene roles de IAM, no se puede acceder a ningún recurso con la cuenta de servicio.
Los permisos de acceso pueden limitar aún más el acceso a la API cuando se autentica a través de OAuth. Sin embargo, no se extienden a otras protocolos de autenticación como gRPC.
Funciones de IAM
Debes otorgar los roles de IAM adecuados a una cuenta de servicio para permitirle acceder a los métodos de la API relevantes.
Cuando otorgas un rol de IAM a una cuenta de servicio, cualquier integración que tenga ese de la cuenta de servicio adjunta tendrá la autorización que le confiere ese rol.
Permisos de acceso
Los permisos de acceso son el método heredado que permite especificar autorización para tu integración. Definen los permisos de OAuth predeterminados que se usan en las solicitudes del gcloud CLI o las bibliotecas cliente. Los permisos te permiten especificar los permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta Permisos de OAuth 2.0 para las APIs de Google. En el caso de las cuentas de servicio administradas por el usuario, el permiso está predefinido en función del siguiente alcance:
https://www.googleapis.com/auth/cloud-platform