Consulta los conectores compatibles con Application Integration.
Información general sobre el control de acceso
Cuando creas un Google Cloud proyecto, eres la única entidad de seguridad del proyecto. De forma predeterminada, ninguna otra entidad principal (usuarios, grupos o cuentas de servicio) tiene acceso a tu proyecto ni a sus recursos. Una vez que hayas aprovisionado correctamente Application Integration en tu proyecto, podrás añadir nuevas entidades y configurar el control de acceso a tus recursos de Application Integration.
Application Integration usa Gestión de Identidades y Accesos (IAM) para gestionar el control de acceso en tu proyecto. Puedes usar IAM para gestionar el acceso a nivel de proyecto o de recurso:
- Para conceder acceso a los recursos a nivel de proyecto, asigna uno o varios roles a una entidad principal.
- Para conceder acceso a un recurso específico, define una política de gestión de identidades y accesos en ese recurso. El recurso debe admitir políticas a nivel de recurso. La política define qué roles se asignan a qué principales.
Roles de gestión de identidades y accesos
A cada entidad principal de tu proyecto se le asigna un rol con permisos específicos. Google Cloud Cuando añades una entidad principal a un proyecto o a un recurso, especificas los roles que se le deben conceder. Cada rol de gestión de identidades y accesos contiene un conjunto de permisos que permiten a la entidad principal realizar acciones específicas en el recurso.
Para obtener más información sobre los distintos tipos de roles de gestión de identidades y accesos, consulta el artículo Descripción de los roles.
Para obtener información sobre cómo conceder roles a principales, consulta Conceder, cambiar y revocar el acceso.
Application Integration proporciona un conjunto específico de roles de IAM predefinidos. Puedes usar estos roles para proporcionar acceso a recursos específicos de Application Integration y evitar el acceso no deseado a otros recursos de Google Cloud.
Cuentas de servicio
Las cuentas de servicio son Google Cloud cuentas asociadas a tu proyecto que pueden realizar tareas u operaciones en tu nombre. Las cuentas de servicio tienen asignados roles y permisos de la misma forma que las entidades, mediante IAM. Para obtener más información sobre las cuentas de servicio y los distintos tipos de cuentas de servicio, consulta el artículo Cuentas de servicio de gestión de identidades y accesos.
Debes conceder los roles de gestión de identidades y accesos adecuados a una cuenta de servicio para que pueda acceder a los métodos de API pertinentes. Cuando asignas un rol de gestión de identidades y accesos a una cuenta de servicio, cualquier integración que tenga asociada esa cuenta de servicio tendrá la autorización que confiere ese rol. Si no hay ningún rol predefinido para el nivel de acceso que quieres, puedes crear y conceder roles personalizados.
La integración de aplicaciones usa dos tipos de cuentas de servicio:
Cuenta de servicio gestionada por el usuario
Una cuenta de servicio gestionada por el usuario se puede asociar a una integración para proporcionar las credenciales necesarias para ejecutar la tarea. Para obtener más información, consulta el artículo Cuentas de servicio gestionadas por el usuario.
La autorización proporcionada a la integración está limitada por dos configuraciones independientes: los roles concedidos a la cuenta de servicio asociada y los permisos de acceso. Ambas configuraciones deben permitir el acceso para que la integración pueda ejecutar la tarea.
Una cuenta de servicio gestionada por el usuario tiene la siguiente dirección de correo:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Cuenta de servicio predeterminada
Los proyectos de Google Cloud que tengan aprovisionado Application Integration tienen una cuenta de servicio predeterminada de Application Integration, que tiene la siguiente dirección de correo:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
La cuenta de servicio predeterminada de integración de aplicaciones se crea durante el aprovisionamiento y se añade automáticamente a tu proyecto con los roles y permisos básicos de gestión de identidades y accesos. Para obtener más información, consulta el artículo Cuentas de servicio predeterminadas.
Para obtener información sobre cómo conceder roles o permisos adicionales a la cuenta de servicio predeterminada, consulta el artículo Conceder, cambiar y revocar el acceso.
Añadir una cuenta de servicio
Application Integration ofrece dos formas de añadir una cuenta de servicio a tu integración:- Si has habilitado la gobernanza en tu región, debes añadir una cuenta de servicio al crear una integración.
- Si no has habilitado la gobernanza, puedes añadir una cuenta de servicio a tu integración. Para añadir una cuenta de servicio a una integración, consulta Editar y ver integraciones.
Regla de autenticación
Si tu integración tiene configurados tanto un perfil de OAuth 2.0 como una cuenta de servicio gestionada por el usuario, se usará el perfil de OAuth 2.0 de forma predeterminada para la autenticación. Si no se ha configurado ningún perfil de OAuth 2.0 ni ninguna cuenta de servicio gestionada por el usuario, se utilizará la cuenta de servicio predeterminada (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Si la tarea no usa la cuenta de servicio predeterminada, la ejecución falla.
Regla de autorización
Si asocias una cuenta de servicio a tu integración, debes determinar el nivel de acceso que tiene la cuenta de servicio mediante los roles de gestión de identidades y accesos que le concedas. Si la cuenta de servicio no tiene ningún rol de gestión de identidades y accesos, no se podrá acceder a ningún recurso con ella.
Los permisos de acceso pueden limitar aún más el acceso a los métodos de la API al autenticarse mediante OAuth. Sin embargo, no se aplican a otros protocolos de autenticación, como gRPC.
Roles de gestión de identidades y accesos
Debes conceder los roles de gestión de identidades y accesos adecuados a una cuenta de servicio para que pueda acceder a los métodos de API pertinentes.
Cuando asignas un rol de gestión de identidades y accesos a una cuenta de servicio, cualquier integración que tenga asociada esa cuenta de servicio tendrá la autorización que confiere ese rol.
Permisos de acceso
Los permisos de acceso son el método antiguo de especificar la autorización de tu integración. Definen los permisos de OAuth predeterminados que se usan en las solicitudes de la CLI de gcloud o de las bibliotecas de cliente. Los ámbitos te permiten especificar los permisos de acceso de los usuarios. Puedes especificar varios permisos separados por un espacio (" "). Para obtener más información, consulta Permisos de OAuth 2.0 para APIs de Google. En el caso de las cuentas de servicio gestionadas por el usuario, el ámbito se predefine con el siguiente valor:
https://www.googleapis.com/auth/cloud-platform