Consulte os conectores compatíveis com a Application Integration.
Visão geral do controle de acesso
Ao criar um projeto do Google Cloud, você é o único principal no projeto. Por padrão, nenhum outro principal (usuários, grupos ou contas de serviço) tem acesso ao seu projeto ou aos recursos dele. Depois de provisionar a Application Integration no seu projeto, você pode adicionar novos principais e definir o controle de acesso para seus recursos da Application Integration.
O Application Integration usa o Identity and Access Management (IAM) para gerenciar o controle de acesso no projeto. É possível usar o IAM para gerenciar o acesso no nível do projeto ou do recurso:
- Para conceder acesso aos recursos no nível do projeto, atribua um ou mais papéis a um principal.
- Para conceder acesso a um recurso específico, defina uma política do IAM nele. O recurso precisa oferecer suporte para políticas no nível do recurso. A política define os papéis que são atribuídos aos quais principais.
Papéis do IAM
Cada principal no projeto do Google Cloud recebe um papel com permissões específicas. Ao adicionar uma principal a um projeto ou a um recurso, você especifica quais papéis quer conceder a ela. Cada papel do IAM contém um conjunto de permissões que permitem que o principal execute ações específicas no recurso.
Para saber mais sobre os diferentes tipos de papéis no IAM, consulte Noções básicas sobre papéis.
Para informações sobre como conceder papéis a principais, consulte Como conceder, alterar e revogar acesso.
A Application Integration oferece um conjunto específico de papéis de IAM predefinidos. É possível usar esses papéis para dar acesso a recursos específicos da Application Integration e impedir o acesso indesejado a outros recursos do Google Cloud.
Contas de serviço
As contas de serviço são contas do Google Cloud associadas ao projeto que podem executar tarefas ou operações em seu nome. As contas de serviço recebem papéis e permissões da mesma forma que as contas principais, usando o IAM. Para mais informações sobre contas de serviço e os diferentes tipos de contas de serviço, consulte Contas de serviço do IAM.
Você precisa conceder os papéis apropriados do IAM a uma conta de serviço para permitir que ela acesse os métodos de API relevantes. Quando você concede um papel do IAM a uma conta de serviço, qualquer integração que tenha essa conta vinculada terá a autorização concedida por esse papel. Se não houver um papel predefinido para o nível de acesso desejado, crie e conceda papéis personalizados.
A Application Integration usa dois tipos de contas de serviço:
Conta serviço gerenciado pelo usuário
Uma conta de serviço gerenciado pelo usuário pode ser anexada a uma integração para fornecer credenciais para executar a tarefa. Para mais informações, consulte Contas serviço gerenciado pelo usuário.
A autorização fornecida à integração limitada por duas configurações separadas: os papéis concedidos à conta de serviço anexada e os escopos de acesso. As duas configurações precisam permitir o acesso antes que a integração possa executar a tarefa.
Uma conta de serviço gerenciado pelo usuário tem o seguinte endereço de e-mail:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
Conta padrão de serviço
Os novos projetos do Google Cloud que têm a Application Integration provisionada têm uma conta de serviço padrão com o seguinte endereço de e-mail:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
A conta de serviço padrão do Application Integration é criada durante o provisionamento e adicionada automaticamente ao projeto com as permissões e os papéis básicos do IAM. Para mais informações, consulte Contas de serviço padrão.
Para mais informações sobre como conceder outros papéis ou permissões à conta de serviço padrão, consulte Como conceder, alterar e revogar acesso.
Adicionar uma conta de serviço
A Application Integration oferece duas maneiras de adicionar uma conta de serviço à integração:- Se você ativou a governança na sua região, adicione uma conta de serviço ao criar uma integração.
- Se você não tiver ativado a governança, poderá adicionar uma conta de serviço à integração. Para adicionar uma conta de serviço a uma integração atual, consulte Editar e ver integrações.
Regra de autenticação
Se a integração tiver um perfil OAuth 2.0 e uma conta de serviço gerenciada pelo usuário configurados, o perfil OAuth 2.0 será usado para a autenticação por padrão. Se nem o perfil do OAuth 2.0 nem a conta de serviço gerenciada pelo usuário estiverem configurados, a conta de serviço padrão (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com) será usada. Se a tarefa não usar a conta de serviço padrão, a execução falhará.
Regra de autorização
Se você anexar uma conta de serviço à integração, será necessário determinar o nível de acesso que a conta de serviço tem pelos papéis do IAM concedidos a ela. Se a conta de serviço não tiver papéis do IAM, nenhum recurso poderá ser acessado usando a conta de serviço.
os escopos de acesso limitam ainda mais o acesso aos métodos da API durante a autenticação por meio do OAuth. No entanto, eles não se estendem a outros protocolos de autenticação, como o gRPC.
Papéis do IAM
Você precisa conceder os papéis apropriados do IAM a uma conta de serviço para permitir que ela acesse os métodos de API relevantes.
Quando você concede um papel do IAM a uma conta de serviço, qualquer integração que tenha essa conta de serviço anexada terá a autorização concedida por esse papel.
Escopos de acesso
Os escopos de acesso são o método legado de especificar a autorização para sua integração. Eles definem os escopos OAuth padrão usados nas solicitações da CLI gcloud ou das bibliotecas de cliente. Com os escopos, é possível especificar as permissões de acesso dos usuários. Você pode especificar vários escopos separados por um espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google. Para contas serviço gerenciado pelo usuário, o escopo é predefinido desta forma:
https://www.googleapis.com/auth/cloud-platform