Consulte os conetores suportados para a solução Application Integration.

Vista geral do controlo de acesso

Quando cria um Google Cloud projeto, é o único principal no projeto. Por predefinição, nenhum outro principal (utilizadores, grupos ou contas de serviço) tem acesso ao seu projeto ou aos respetivos recursos. Depois de aprovisionar com êxito a integração de aplicações no seu projeto, pode adicionar novos responsáveis e definir o controlo de acesso para os seus recursos de integração de aplicações.

A integração de aplicações usa a gestão de identidade e de acesso (IAM) para gerir o controlo de acesso no seu projeto. Pode usar o IAM para gerir o acesso ao nível do projeto ou ao nível do recurso:

  • Para conceder acesso a recursos ao nível do projeto, atribua uma ou mais funções a um principal.
  • Para conceder acesso a um recurso específico, defina uma política IAM nesse recurso. O recurso tem de suportar políticas ao nível do recurso. A política define as funções que são atribuídas a que responsáveis.

Funções de IAM

A cada principal no seu Google Cloud projeto é concedida uma função com autorizações específicas. Quando adiciona um principal a um projeto ou a um recurso, especifica as funções que lhe quer atribuir. Cada função de IAM contém um conjunto de autorizações que permite ao principal realizar ações específicas no recurso.

Para mais informações sobre os diferentes tipos de funções no IAM, consulte o artigo Compreender as funções.

Para obter informações sobre a concessão de funções a responsáveis, consulte o artigo Conceder, alterar e revogar o acesso.

A integração de aplicações oferece um conjunto específico de funções de IAM predefinidas. Pode usar estas funções para conceder acesso a recursos específicos do Application Integration e impedir o acesso indesejado a outros recursos do Google Cloud.

Contas de serviço

As contas de serviço são Google Cloud contas associadas ao seu projeto que podem realizar tarefas ou operações em seu nome. As contas de serviço têm funções e autorizações atribuídas da mesma forma que os principais, através da IAM. Para mais informações sobre as contas de serviço e os diferentes tipos de contas de serviço, consulte o artigo Contas de serviço da IAM.

Tem de conceder as funções de IAM adequadas a uma conta de serviço para permitir que essa conta de serviço aceda aos métodos da API relevantes. Quando concede uma função do IAM a uma conta de serviço, qualquer integração que tenha essa conta de serviço anexada tem a autorização conferida por essa função. Se não existir uma função predefinida para o nível de acesso pretendido, pode criar e conceder funções personalizadas.

A integração de aplicações usa dois tipos de contas de serviço:

Conta de serviço gerida pelo utilizador

Uma conta de serviço gerida pelo utilizador pode ser anexada a uma integração para fornecer credenciais para executar a tarefa. Para mais informações, consulte o artigo Contas de serviço geridas pelo utilizador.

A autorização fornecida à integração é limitada por duas configurações separadas: as funções concedidas à conta de serviço associada e os âmbitos de acesso. Ambas as configurações têm de permitir o acesso antes de a integração poder executar a tarefa.

Uma conta de serviço gerida pelo utilizador tem o seguinte endereço de email:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

Conta de serviço predefinida

Os novos projetos do Google Cloud que aprovisionaram a Application Integration têm uma conta de serviço predefinida da Application Integration, que tem o seguinte endereço de email:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

A conta de serviço predefinida da integração de aplicações é criada durante o aprovisionamento e é adicionada automaticamente ao seu projeto com as funções e as autorizações básicas da IAM. Para mais informações, consulte o artigo Contas de serviço predefinidas.

Para informações sobre como conceder funções ou autorizações adicionais à conta de serviço predefinida, consulte o artigo Conceder, alterar e revogar o acesso.

Adicione uma conta de serviço

A integração de aplicações oferece duas formas de adicionar uma conta de serviço à sua integração:

Regra de autenticação

Se a sua integração tiver um perfil do OAuth 2.0 e uma conta de serviço gerida pelo utilizador configurados, por predefinição, o perfil do OAuth 2.0 é usado para autenticação. Se não estiver configurado nenhum perfil do OAuth 2.0 nem nenhuma conta de serviço gerida pelo utilizador, é usada a conta de serviço predefinida (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Se a tarefa não usar a conta de serviço predefinida, a execução falha.

Regra de autorização

Se anexar uma conta de serviço à sua integração, tem de determinar o nível de acesso que a conta de serviço tem pelas funções da IAM que concede à conta de serviço. Se a conta de serviço não tiver funções do IAM, não é possível aceder a recursos através da conta de serviço.

Os âmbitos de acesso podem limitar ainda mais o acesso aos métodos da API quando a autenticação é feita através do OAuth. No entanto, não se aplicam a outros protocolos de autenticação, como o gRPC.

Funções de IAM

Tem de conceder as funções de IAM adequadas a uma conta de serviço para permitir que essa conta de serviço aceda aos métodos da API relevantes.

Quando concede uma função do IAM a uma conta de serviço, qualquer integração que tenha essa conta de serviço anexada tem a autorização conferida por essa função.

Âmbitos de acesso

Os âmbitos de acesso são o método antigo de especificar a autorização para a sua integração. Definem os âmbitos OAuth predefinidos usados em pedidos da CLI gcloud ou das bibliotecas cliente. Os âmbitos permitem-lhe especificar autorizações de acesso para os utilizadores. Pode especificar vários âmbitos separados por um único espaço (" "). Para mais informações, consulte os âmbitos do OAuth 2.0 para APIs Google. Para contas de serviço geridas pelo utilizador, o âmbito é predefinido para o seguinte âmbito:

https://www.googleapis.com/auth/cloud-platform