Consulta i connettori supportati per Application Integration.

Panoramica del controllo dell'accesso

Quando crei un progetto Google Cloud, sei l'unica entità del progetto. Per impostazione predefinita, nessun'altra entità (utenti, gruppi o account di servizio) ha accesso al progetto o alle sue risorse. Dopo aver eseguito correttamente il provisioning di Application Integration nel tuo progetto, puoi aggiungere nuove entità e impostare controllo dell'accesso per le risorse di Application Integration.

Application Integration utilizza Identity and Access Management (IAM) per gestire il controllo dell'accesso dell'accesso all'interno del progetto. Puoi utilizzare IAM per gestire l'accesso a livello di progetto o di risorsa:

  • Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità.
  • Per concedere l'accesso a una risorsa specifica, imposta un criterio IAM su tale risorsa. La risorsa deve supportare i criteri a livello di risorsa. Il criterio definisce i ruoli assegnati a ciascuna entità.

Ruoli IAM

A ogni entità nel tuo progetto Google Cloud viene assegnato un ruolo con autorizzazioni specifiche. Quando aggiungi un'entità a un progetto o a una risorsa, specifichi i ruoli da concedere. Ogni ruolo IAM contiene un insieme di autorizzazioni che consentono all'entità di eseguire azioni specifiche nella risorsa.

Per saperne di più sui diversi tipi di ruoli in IAM, consulta Informazioni sui ruoli.

Per informazioni sulla concessione dei ruoli alle entità, vedi Concessione, modifica e revoca dell'accesso.

Application Integration fornisce un set specifico di ruoli IAM predefiniti. Puoi utilizzare questi ruoli per fornire l'accesso a risorse Application Integration specifiche e impedire l'accesso indesiderato ad altre risorse Google Cloud.

Account di servizio

Gli account di servizio sono account Google Cloud associati al progetto che possono eseguire attività o operazioni per tuo conto. Agli account di servizio vengono assegnati ruoli e autorizzazioni allo stesso modo delle entità, utilizzando IAM. Per ulteriori informazioni sugli account di servizio e sui diversi tipi di account di servizio, vedi Account di servizio IAM.

Devi concedere i ruoli IAM appropriati a un account di servizio per consentire all'account di servizio di accedere ai metodi API pertinenti. Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato quell'account di servizio avrà l'autorizzazione conferita da quel ruolo. Se non esiste un ruolo predefinito per il livello di accesso che vuoi, puoi creare e concedere ruoli personalizzati.

Application Integration utilizza due tipi di account di servizio:

Account di servizio gestito dall'utente

Un account di servizio gestito dall'utente può essere collegato a un'integrazione per fornire le credenziali per eseguire l'attività. Per ulteriori informazioni, consulta Account di servizio gestiti dall'utente.

L'autorizzazione fornita all'integrazione è limitata da due configurazioni separate: i ruoli concessi all'account di servizio collegato e gli ambiti di accesso. Entrambe queste configurazioni devono consentire l'accesso prima che l'integrazione possa eseguire l'attività.

Un account di servizio gestito dall'utente ha il seguente indirizzo email:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

Account di servizio predefinito

I nuovi progetti Google Cloud di cui è stato eseguito il provisioning di Application Integration dispongono di un account di servizio predefinito di Application Integration, che ha il seguente indirizzo email:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

L'account di servizio predefinito di Application Integration viene creato durante il provisioning e viene aggiunto automaticamente al progetto con i ruoli e le autorizzazioni IAM di base. Per ulteriori informazioni, consulta la sezione Account di servizio predefiniti.

Per informazioni su come concedere ruoli o autorizzazioni aggiuntivi all'account di servizio predefinito, vedi Concessione, modifica e revoca dell'accesso.

Aggiungi un account di servizio

Application Integration offre due modi per aggiungere un account di servizio all'integrazione:

Regola di autenticazione

Se nell'integrazione sono configurati sia un profilo OAuth 2.0 sia un account di servizio gestito dall'utente, per l'autenticazione viene utilizzato per impostazione predefinita il profilo OAuth 2.0. Se non è configurato né il profilo OAuth 2.0 né un account di servizio gestito dall'utente, viene utilizzato l'account di servizio predefinito (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Se l'attività non utilizza l'account di servizio predefinito, l'esecuzione non va a buon fine.

Regola di autorizzazione

Se colleghi un account di servizio all'integrazione, devi determinare il livello di accesso dell'account di servizio in base ai ruoli IAM che concedi all'account di servizio. Se l'account di servizio non ha ruoli IAM, non è possibile accedere alle risorse utilizzando l'account di servizio.

Gli ambiti di accesso potrebbero limitare ulteriormente l'accesso ai metodi API durante l'autenticazione tramite OAuth. Tuttavia, non si estendono ad altri protocolli di autenticazione come gRPC.

Ruoli IAM

Devi concedere i ruoli IAM appropriati a un account di servizio per consentire all'account di servizio di accedere ai metodi API pertinenti.

Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato quell'account di servizio avrà l'autorizzazione conferita da quel ruolo.

Ambiti di accesso

Gli ambiti di accesso sono il metodo precedente per specificare l'autorizzazione per l'integrazione. Definiscono gli ambiti OAuth predefiniti utilizzati nelle richieste da gcloud CLI o dalle librerie client. Gli ambiti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per maggiori informazioni, consulta Ambiti OAuth 2.0 per API di Google. Per gli account di servizio gestiti dall'utente, l'ambito predefinito è il seguente:

https://www.googleapis.com/auth/cloud-platform