Consulta los conectores compatibles para Application Integration.
Descripción general del control de acceso
Cuando creas un proyecto de Google Cloud, eres la única principal del proyecto. De forma predeterminada, ninguna otra principal (usuarios, grupos o cuentas de servicio) tiene acceso a tu proyecto ni a sus recursos. Después de aprovisionar con éxito Application Integration en tu proyecto, puedes agregar principales nuevos y establecer el control de acceso para tus recursos de Application Integration.
Application Integration usa Identity and Access Management (IAM) para administrar el control de acceso dentro de tu proyecto. Puedes usar IAM para administrar el acceso a nivel de proyecto o de recurso:
- Para otorgar acceso a los recursos a nivel de proyecto, asigna uno o más roles a una principal.
- Para otorgar acceso a un recurso específico, configura una política de IAM en ese recurso. El recurso debe admitir políticas a nivel de recursos. La política define qué funciones se asignan a qué principales.
Roles de IAM
A cada principal en tu proyecto de Google Cloud se le otorga un rol con permisos específicos. Cuando agregas una principal a un proyecto o recurso, debes especificar qué roles otorgarles. Cada rol de IAM contiene un conjunto de permisos que permiten a la principal realizar acciones específicas en el recurso.
Para obtener más información sobre los diferentes tipos de roles en IAM, consulta Comprende los roles.
Para obtener información sobre cómo otorgar roles a las principales, consulta Otorga, cambia y revoca acceso.
Application Integration proporciona un conjunto específico de roles de IAM predefinidos. Puedes usar estos roles para proporcionar acceso a recursos específicos de Application Integration y evitar el acceso no deseado a otros recursos de Google Cloud.
Cuentas de servicio
Las cuentas de servicio son cuentas de Google Cloud asociadas a tu proyecto que pueden realizar tareas o bien operaciones en tu nombre. A las cuentas de servicio se les asignan roles y permisos de la misma manera que las principales, mediante IAM. Para obtener más información sobre las cuentas de servicio y los diferentes tipos de cuentas de servicio, consulta Cuentas de servicio de IAM.
Debes otorgar las funciones de IAM apropiadas a una cuenta de servicio para permitir que esa cuenta acceda a los métodos de la API relevantes. Cuando otorgas un rol de IAM a una cuenta de servicio, cualquier integración que tenga vinculada esa cuenta tendrá la autorización que confiere ese rol. Si no hay un rol predefinido para el nivel de acceso que deseas, puedes crear y otorgar roles personalizados.
Application Integration usa dos tipos de cuentas de servicio:
Cuenta de servicio administrada por el usuario
Se puede conectar una cuenta de servicio administrada por el usuario a una integración a fin de proporcionar credenciales para ejecutar la tarea. Para obtener más información, consulta Cuentas de servicio administradas por el usuario.
La autorización proporcionada a la integración limitada por dos configuraciones separadas: las funciones otorgadas a la cuenta de servicio conectada y los permisos de acceso. Ambos parámetros de configuración deben permitir el acceso antes de que la integración pueda ejecutar la tarea.
Una cuenta de servicio administrada por el usuario tiene la siguiente dirección de correo electrónico:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Cuenta de servicio predeterminada
Los proyectos nuevos de Google Cloud que aprovisionaron Application Integration tienen una cuenta de servicio predeterminada de Application Integration, que tiene la siguiente dirección de correo electrónico:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
La cuenta de servicio predeterminada de Application Integration se crea durante el aprovisionamiento y se agrega automáticamente a tu proyecto con los permisos y roles de IAM básicos. Para obtener más información, consulta Cuentas de servicio predeterminadas.
Para obtener información sobre cómo otorgar roles o permisos adicionales a la cuenta de servicio predeterminada, consulta Otorga, cambia y revoca el acceso.
Agregar una cuenta de servicio
Application Integration ofrece dos formas de agregar una cuenta de servicio a tu integración:- Si habilitaste la administración para tu región, debes agregar una cuenta de servicio cuando creas una integración nueva.
- Si no habilitaste la administración, tienes la opción de agregar una cuenta de servicio a tu integración. Para agregar una cuenta de servicio a una integración existente, consulta Edita y visualiza integraciones.
Regla de autenticación
Si tu integración tiene configurados un perfil de OAuth 2.0 y una cuenta de servicio administrada por el usuario, de forma predeterminada, el perfil de OAuth 2.0 se usa para la autenticación. Si no se configura el perfil de OAuth 2.0 ni la cuenta de servicio administrada por el usuario, se usa la cuenta de servicio predeterminada (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Si la tarea no usa la cuenta de servicio predeterminada, la ejecución fallará.
Regla de autorización
Si vinculas una cuenta de servicio a tu integración, debes determinar el nivel de acceso que tiene la cuenta de servicio mediante las funciones de IAM que le otorgas a la cuenta de servicio. Si la cuenta de servicio no tiene roles de IAM, no se podrá acceder a ningún recurso con ella.
Los permisos de acceso pueden limitar aún más el acceso a los métodos de la API cuando se autentica a través de OAuth. Sin embargo, no se extienden a otros protocolos de autenticación, como gRPC.
Roles de IAM
Debes otorgar las funciones de IAM apropiadas a una cuenta de servicio para permitir que esa cuenta acceda a los métodos de la API relevantes.
Cuando otorgas un rol de IAM a una cuenta de servicio, cualquier integración que tenga esa cuenta de servicio adjunta tendrá la autorización que confiere ese rol.
Permisos de acceso
Los permisos de acceso son el método heredado de especificar la autorización para tu integración. Definen los permisos predeterminados de OAuth que se usan en las solicitudes de gcloud CLI o las bibliotecas cliente. Los permisos te permiten especificar permisos de acceso para los usuarios. Puedes especificar varios alcances separados por un solo espacio (" "). Para obtener más información, consulta Permisos de OAuth 2.0 para las APIs de Google. En las cuentas de servicio administradas por el usuario, el permiso está predefinido según el siguiente:
https://www.googleapis.com/auth/cloud-platform