Sicherheitsrichtlinien für Application Integration

In diesem Dokument werden die Sicherheitsrichtlinien und -überlegungen für das Produkt „Application Integration“ beschrieben. Wenn Sie Application Integration noch nicht kennen, sollten Sie mit der Übersicht über Application Integration beginnen.

Dienstkonten

Ein Dienstkonto ist eine spezielle Art von Konto, das von einer Anwendung und nicht von einer Person verwendet wird. Ein Dienstkonto wird durch eine eindeutige E-Mail-Adresse identifiziert. Weitere Informationen finden Sie unter Dienstkonten.

Mit Dienstkonten können Sie sicheren Zugriff auf die Google Cloud-Ressourcen gewähren, ohne Ihre eigenen Anmeldedaten weiterzugeben. So wird unbefugter Zugriff auf Ihre Ressourcen verhindert.

Im Folgenden finden Sie einige Best Practices für die Verwendung eines Dienstkontos:

Erstellen Sie für jede Aufgabe oder Anwendung ein separates Dienstkonto. So können Sie den Zugriff besser verwalten und nachverfolgen, welche Dienstkonten für welche Aufgaben verwendet werden.
Gewähren Sie dem Dienstkonto nur die Berechtigungen, die es für die vorgesehenen Aufgaben benötigt.
Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn Sie sich mit einem Dienstkontoschlüssel authentifizieren müssen, sind Sie für die Sicherheit des privaten Schlüssels und für andere Vorgänge verantwortlich, die unter Best Practices für die Verwaltung von Dienstkontoschlüsseln beschrieben werden. Wenn Sie keinen Dienstkontoschlüssel erstellen können, ist das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter Standardmäßig sichere Organisationsressourcen verwalten.
Wenn Sie den Dienstkontoschlüssel von einer externen Quelle erhalten haben, müssen Sie ihn vor der Verwendung validieren. Weitere Informationen finden Sie unter Sicherheitsanforderungen für extern abgerufene Anmeldedaten.
Überwachen Sie die Nutzung Ihrer Dienstkonten und prüfen Sie die Audit-Logs, um sicherzustellen, dass sie wie vorgesehen verwendet werden. So können Sie unbefugten Zugriff oder Missbrauch von Dienstkonten erkennen.

Weitere Informationen finden Sie unter Best Practices für die Arbeit mit Dienstkonten.

Benutzerdefinierte Rollen

Mit benutzerdefinierten Rollen können Sie detaillierte Berechtigungen erstellen, die auf Ihre spezifischen Anforderungen zugeschnitten sind. Sie können beispielsweise eine benutzerdefinierte Rolle erstellen, mit der ein Dienstkonto Daten in einem Cloud Storage-Bucket lesen und schreiben, aber nicht löschen kann. Benutzerdefinierte Rollen sind nützlich, um den Zugriff auf Ihre Google Cloud-Ressourcen zu verwalten und dafür zu sorgen, dass Nutzer und Anwendungen nur die Berechtigungen haben, die für die Ausführung der vorgesehenen Aufgaben erforderlich sind.

Sie können mit Identity and Access Management (IAM) benutzerdefinierte Rollen erstellen und Nutzern, Gruppen oder Dienstkonten zuweisen. Weitere Informationen finden Sie unter Benutzerdefinierte Rolle erstellen.

Authentifizierungsprofile

Mit einem Authentifizierungsprofil können Sie die Authentifizierungsdetails für die Verbindung in einer Integration konfigurieren und speichern. Anstatt eine hartcodierte Authentifizierungskonfiguration zu verwenden, können Sie die integrierte Authentifizierungsprofilkonfiguration verwenden, die für eine verbesserte Sicherheit sorgt. Die Anwendungsintegration unterstützt je nach Aufgabe verschiedene Authentifizierungstypen. Weitere Informationen finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Um unbefugten Zugriff zu verhindern und die Sicherheit zu erhöhen, wird empfohlen, ein Authentifizierungsprofil zu verwenden, sofern eine Aufgabe dies unterstützt.