Consulta los conectores compatibles para Application Integration.
Descripción general del control de acceso
Cuando creas un proyecto de Google Cloud , eres el único administrador principal del proyecto. De forma predeterminada, ningún otro principal (usuario, grupo o cuenta de servicio) tiene acceso a tu proyecto ni a sus recursos. Después de aprovisionar correctamente la Application Integration en tu proyecto, puedes agregar principales nuevos y configurar el control de acceso para tus recursos de Application Integration.
Application Integration usa la administración de identidades y accesos (IAM) para administrar el control de acceso en tu proyecto. Puedes usar IAM para administrar el acceso a nivel del proyecto o del recurso:
- Para otorgar acceso a los recursos a nivel del proyecto, asigna uno o más roles a una principal.
- Para otorgar acceso a un recurso específico, establece una política de IAM en ese recurso. El recurso debe admitir políticas a nivel de recursos. La política define qué funciones se asignan a qué principales.
Funciones de IAM
A cada principal de tu Google Cloud proyecto se le otorga un rol con permisos específicos. Cuando agregas una principal a un proyecto o recurso, debes especificar qué roles le otorgas. Cada rol de IAM contiene un conjunto de permisos que le permite al principal realizar acciones específicas en el recurso.
Para obtener más información sobre los diferentes tipos de roles en IAM, consulta Comprende los roles.
Para obtener información sobre cómo otorgar roles a las principales, consulta Otorga, cambia y revoca acceso.
Application Integration proporciona un conjunto específico de roles de IAM predefinidos. Puedes usar estos roles para proporcionar acceso a recursos específicos de Application Integration y evitar el acceso no deseado a otros recursos de Google Cloud.
Cuentas de servicio
Las cuentas de servicio son Google Cloud cuentas asociadas con tu proyecto que pueden realizar tareas o operaciones en tu nombre. A las cuentas de servicio se les asignan roles y permisos de la misma manera que a los principales, con IAM. Para obtener más información sobre las cuentas de servicio y los diferentes tipos de cuentas de servicio, consulta Cuentas de servicio de IAM.
Debes otorgar los roles de IAM apropiados a una cuenta de servicio para permitir que esa cuenta acceda a los métodos de la API relevantes. Cuando otorgas una función de IAM a una cuenta de servicio, cualquier integración que tenga esa cuenta de servicio tendrá la autorización que le otorgará esa función. Si no hay un rol predefinido para el nivel de acceso que deseas, puedes crear y otorgar roles personalizados.
Application Integration usa dos tipos de cuentas de servicio:
Cuenta de servicio administrada por el usuario
Se puede conectar una cuenta de servicio administrada por el usuario a una integración para proporcionar credenciales que permitan ejecutar la tarea. Para obtener más información, consulta Cuentas de servicio administradas por el usuario.
La autorización proporcionada a la integración está limitada por dos configuraciones distintas: los roles otorgados a la cuenta de servicio conectada y los permisos de acceso. Ambas configuraciones deben permitir el acceso antes de que la integración pueda ejecutar la tarea.
Una cuenta de servicio administrada por el usuario tiene la siguiente dirección de correo electrónico:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Cuenta de servicio predeterminada
Los proyectos de Google Cloud nuevos que aprovisionaron Application Integration tienen una cuenta de servicio predeterminada de Application Integration, que tiene la siguiente dirección de correo electrónico:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
La cuenta de servicio predeterminada de Application Integration se crea durante el aprovisionamiento y se agrega automáticamente a tu proyecto con los roles y permisos de IAM básicos. Para obtener más información, consulta Cuentas de servicio predeterminadas.
Para obtener información sobre cómo otorgar roles o permisos adicionales a la cuenta de servicio predeterminada, consulta Cómo otorgar, cambiar y revocar el acceso.
Agregar una cuenta de servicio
Application Integration proporciona dos maneras de agregar una cuenta de servicio a tu integración:- Si habilitaste la gobernanza para tu región, debes agregar una cuenta de servicio cuando crees una integración nueva.
- Si no habilitaste la gobernanza, puedes agregar una cuenta de servicio a tu integración de manera opcional. Para agregar una cuenta de servicio a una integración existente, consulta Cómo editar y ver integraciones.
Regla de autenticación
Si tu integración tiene configurados un perfil de OAuth 2.0 y una cuenta de servicio administrada por el usuario, de forma predeterminada, el perfil de OAuth 2.0 se usa para la autenticación. Si no se configura el perfil de OAuth 2.0 ni la cuenta de servicio administrada por el usuario, se usa la cuenta de servicio predeterminada (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Si la tarea no usa la cuenta de servicio predeterminada, la ejecución fallará.
Regla de autorización
Si adjuntas una cuenta de servicio a tu integración, debes determinar el nivel de acceso que tiene la cuenta de servicio a través de los roles de IAM que le otorgas. Si la cuenta de servicio no tiene roles de IAM, no se puede acceder a ningún recurso con la cuenta de servicio.
Los niveles de acceso limitan potencialmente aún más el acceso a los métodos de la API cuando se autentica a través de OAuth. Sin embargo, no se extienden a otros protocolos de autenticación, como gRPC.
Funciones de IAM
Debes otorgar los roles de IAM apropiados a una cuenta de servicio para permitir que esa cuenta acceda a los métodos de la API relevantes.
Cuando otorgas una función de IAM a una cuenta de servicio, cualquier integración que tenga esa cuenta de servicio adjunta tendrá la autorización que le otorgará esa función.
Permisos de acceso
Los permisos de acceso son el método heredado que permite especificar autorización para tu integración. En cambio, definen los permisos de OAuth predeterminados que se usan en las solicitudes de gcloud CLI o las bibliotecas cliente. Los permisos te permiten especificar los permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta Permisos de OAuth 2.0 para las APIs de Google. En el caso de las cuentas de servicio administradas por el usuario, el permiso está predefinido en el siguiente permiso:
https://www.googleapis.com/auth/cloud-platform