Consultez la liste des connecteurs compatibles avec Application Integration.
Présentation du contrôle des accès
Lorsque vous créez un projet Google Cloud, vous êtes le seul compte principal du projet. Par défaut, aucun autre compte principal (utilisateur, groupe ou compte de service) n'a accès à votre projet ou à ses ressources. Après avoir provisionné Application Integration dans votre projet, vous pouvez ajouter des comptes principaux et définir le contrôle des accès pour vos ressources Application Integration.
Application Integration utilise Identity and Access Management (IAM) pour gérer le contrôle des accès au sein de votre projet. Vous pouvez utiliser IAM pour gérer l'accès au niveau du projet ou au niveau des ressources:
- Pour accorder l'accès aux ressources au niveau du projet, attribuez un ou plusieurs rôles à un compte principal.
- Pour accorder l'accès à une ressource spécifique, définissez une stratégie IAM pour cette ressource. La ressource doit être compatible avec les stratégies au niveau des ressources. La stratégie définit quels rôles sont attribués à chaque compte principal.
Rôles IAM
Chaque compte principal de votre projet Google Cloud se voit attribuer un rôle avec des autorisations spécifiques. Lorsque vous ajoutez un compte principal à un projet ou à une ressource, vous spécifiez les rôles à lui attribuer. Chaque rôle IAM contient un ensemble d'autorisations permettant au compte principal d'effectuer des actions spécifiques sur la ressource.
Pour en savoir plus sur les différents types de rôles dans IAM, consultez la page Comprendre les rôles.
Pour plus d'informations sur l'attribution de rôles aux comptes principaux, consultez la page Accorder, modifier et révoquer les accès.
Application Integration fournit un ensemble spécifique de rôles IAM prédéfinis. Vous pouvez utiliser ces rôles pour fournir un accès à des ressources Application Integration spécifiques et empêcher tout accès indésirable à d'autres ressources Google Cloud.
Comptes de service
Les comptes de service sont des comptes Google Cloud associés à votre projet qui peuvent effectuer des tâches ou des opérations en votre nom. Les comptes de service se voient attribuer des rôles et des autorisations de la même manière que les comptes principaux, à l'aide d'IAM. Pour en savoir plus sur les comptes de service et les différents types de comptes de service, consultez la page Comptes de service IAM.
Vous devez attribuer les rôles IAM appropriés à un compte de service pour lui permettre d'accéder aux méthodes API pertinentes. Lorsque vous attribuez un rôle IAM à un compte de service, toute intégration associée à ce compte de service dispose de l'autorisation conférée par ce rôle. Si aucun rôle prédéfini ne correspond au niveau d'accès souhaité, vous pouvez créer et attribuer des rôles personnalisés.
Application Integration utilise deux types de comptes de service:
Compte de service géré par l'utilisateur
Un compte de service géré par l'utilisateur peut être associé à une intégration pour fournir des identifiants permettant d'exécuter la tâche. Pour en savoir plus, consultez la page Comptes de service gérés par l'utilisateur.
Autorisation fournie à l'intégration, limitée par deux configurations distinctes: les rôles accordés au compte de service associé et les niveaux d'accès. Ces deux configurations doivent autoriser l'accès pour que l'intégration puisse exécuter la tâche.
Un compte de service géré par l'utilisateur possède l'adresse e-mail suivante:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Compte de service par défaut
Les nouveaux projets Google Cloud pour lesquels Application Integration est provisionné disposent d'un compte de service par défaut Application Integration, associé à l'adresse e-mail suivante:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
Le compte de service par défaut d'Application Integration est créé lors du provisionnement. Il est automatiquement ajouté à votre projet avec les rôles et autorisations IAM de base. Pour en savoir plus, consultez Comptes de service par défaut.
Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires au compte de service par défaut, consultez la page Accorder, modifier et révoquer des accès.
Ajouter un compte de service
Application Integration propose deux méthodes pour ajouter un compte de service à votre intégration :- Si vous avez activé la gouvernance pour votre région, vous devez ajouter un compte de service lors de la création d'une intégration.
- Si vous n'avez pas activé la gouvernance, vous pouvez éventuellement ajouter un compte de service à votre intégration. Pour ajouter un compte de service à une intégration existante, consultez Modifier et afficher les intégrations.
Règle d'authentification
Si le profil OAuth 2.0 et un compte de service géré par l'utilisateur sont tous deux configurés pour votre intégration, le profil OAuth 2.0 est utilisé par défaut pour l'authentification. Lorsqu'aucun des deux n'est configuré, le compte de service par défaut (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com) est utilisé. Si la tâche n'utilise pas le compte de service par défaut, l'exécution échoue.
Règle d'autorisation
Si vous associez un compte de service à votre intégration, vous devez déterminer le niveau d'accès du compte de service par les rôles IAM que vous accordez au compte de service. Si le compte de service ne dispose d'aucun rôle IAM, aucune ressource n'est accessible à l'aide du compte de service.
Les niveaux d'accès peuvent limiter davantage l'accès aux méthodes API lors de l'authentification via OAuth. Toutefois, ils ne s'appliquent pas aux autres protocoles d'authentification, tels que gRPC.
Rôles IAM
Vous devez attribuer les rôles IAM appropriés à un compte de service pour lui permettre d'accéder aux méthodes API pertinentes.
Lorsque vous attribuez un rôle IAM à un compte de service, toute intégration à laquelle ce compte de service est associé se voit octroyer l'autorisation conférée par ce rôle.
Niveaux d'accès
Les niveaux d'accès représentent l'ancienne méthode de spécification des autorisations associées à votre intégration. Ils définissent les champs d'application OAuth par défaut utilisés dans les requêtes provenant de gcloud CLI ou des bibliothèques clientes. Les niveaux d'accès vous permettent de spécifier des autorisations d'accès pour les utilisateurs. Vous pouvez spécifier plusieurs champs d'application séparés par un seul espace (" "). Pour en savoir plus, consultez la section Champs d'application OAuth 2.0 pour les API Google. Pour les comptes de service gérés par l'utilisateur, le champ d'application est prédéfini comme suit:
https://www.googleapis.com/auth/cloud-platform