Consulte os conectores compatíveis com a integração de aplicativos.

Visão geral do controle de acesso

Ao criar um projeto do Google Cloud , você é o único administrador do projeto. Por padrão, nenhum outro principal (usuários, grupos ou contas de serviço) tem acesso ao seu projeto ou aos recursos dele. Depois de provisionar Application Integration no seu projeto, você pode adicionar novos participantes e definir o controle de acesso para os recursos de Application Integration.

Application Integration usa o gerenciamento de identidade e acesso (IAM) para gerenciar o controle de acesso no seu projeto. É possível usar o IAM para gerenciar o acesso no nível do projeto ou do recurso:

  • Para conceder acesso a recursos no nível do projeto, atribua um ou mais papéis a um principal.
  • Para conceder acesso a um recurso específico, defina uma política do IAM nesse recurso. O recurso precisa oferecer suporte para políticas no nível do recurso. A política define quais papéis são atribuídos a quais principais.

Papéis IAM

Cada titular no seu projeto do Google Cloud recebe uma função com permissões específicas. Quando você adiciona um principal a um projeto ou a um recurso, especifica quais papéis precisam ser concedidos. Cada papel do IAM contém um conjunto de permissões que permite que o principal realize ações específicas no recurso.

Para saber mais sobre os diferentes tipos de papéis no IAM, consulte Noções básicas sobre papéis.

Para informações sobre como conceder papéis a principais, consulte Como conceder, alterar e revogar acesso.

O Application Integration oferece um conjunto específico de papéis predefinidos do IAM. Você pode usar esses papéis para conceder acesso a recursos específicos da Application Integration e impedir o acesso indesejado a outros recursos do Google Cloud.

Contas de serviço

As contas de serviço são contas do Google Cloud associadas ao seu projeto que podem realizar tarefas ou operações em seu nome. Papéis e permissões são atribuídos a contas de serviço da mesma maneira que a usuários principais, usando o IAM. Para mais informações sobre contas de serviço e os diferentes tipos delas, consulte Contas de serviço do IAM.

É preciso conceder os devidos papéis do IAM a uma conta de serviço para permitir que ela acesse os métodos de API relevantes. Quando você concede um papel do IAM a uma conta de serviço, qualquer integração que tenha essa conta de serviço anexada vai ter a autorização concedida por esse papel. Se não houver um papel predefinido para o nível de acesso desejado, crie e conceda papéis personalizados.

Application Integration usa dois tipos de contas de serviço:

Conta serviço gerenciado pelo usuário

Uma conta de serviço gerenciado pelo usuário pode ser anexada a uma integração para fornecer credenciais para executar a tarefa. Para mais informações, consulte Contas serviço gerenciado pelo usuário.

A autorização fornecida à integração é limitada por duas configurações diferentes: os papéis concedidos à conta de serviço anexada e os escopos de acesso. Ambas as configurações precisam permitir o acesso antes que a integração possa executar a tarefa.

Uma conta de serviço gerenciado pelo usuário tem o seguinte endereço de e-mail:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

Conta padrão de serviço

Os novos projetos do Google Cloud que provisionaram o Application Integration têm uma conta de serviço padrão, com o seguinte endereço de e-mail:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

A conta de serviço padrão do Application Integration é criada durante o provisionamento e adicionada automaticamente ao projeto com as permissões e os papéis básicos do IAM. Para mais informações, consulte Contas de serviço padrão.

Para informações sobre como conceder papéis ou permissões adicionais à conta de serviço padrão, consulte Como conceder, alterar e revogar o acesso.

Adicionar uma conta de serviço

A Application Integration oferece duas maneiras de adicionar uma conta de serviço à integração:

Regra de autenticação

Se a integração tiver um perfil OAuth 2.0 e uma conta de serviço gerenciada pelo usuário configurados, o perfil OAuth 2.0 será usado para a autenticação por padrão. Se nem o perfil do OAuth 2.0 nem a conta de serviço gerenciada pelo usuário estiverem configurados, a conta de serviço padrão (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com) será usada. Se a tarefa não usar a conta de serviço padrão, a execução falhará.

Regra de autorização

Se você anexar uma conta de serviço à integração, vai precisar determinar o nível de acesso que ela tem pelos papéis do IAM que você concede à conta de serviço. Se a conta de serviço não tiver papéis do IAM, nenhum recurso poderá ser acessado usando a conta de serviço.

Os escopos de acesso podem limitar ainda mais o acesso aos métodos de API durante a autenticação por meio do OAuth. No entanto, eles não se estendem a outros protocolos de autenticação, como o gRPC.

Papéis IAM

É preciso conceder os devidos papéis do IAM a uma conta de serviço para permitir que ela acesse os métodos de API relevantes.

Quando você concede um papel do IAM a uma conta de serviço, qualquer integração que tenha essa conta de serviço anexada vai ter a autorização concedida por esse papel.

Escopos de acesso

Os escopos de acesso são o método legado de especificação das permissões da sua integração. Eles definem os escopos padrão do OAuth usados nas solicitações da CLI gcloud ou das bibliotecas de cliente. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google. Para contas serviço gerenciado pelo usuário, o escopo é predefinido para o seguinte:

https://www.googleapis.com/auth/cloud-platform