Directrices de seguridad de Application Integration

En este documento se describen las directrices y consideraciones de seguridad del producto Application Integration. Si no has usado nunca la integración de aplicaciones, te recomendamos que empieces con el artículo Descripción general de la integración de aplicaciones.

Cuentas de servicio

Una cuenta de servicio es un tipo especial de cuenta que usa una aplicación en lugar de una persona. Las cuentas de servicio se identifican mediante una dirección de correo única. Consulta más información en el artículo Cuentas de servicio.

Las cuentas de servicio se pueden usar para proporcionar acceso seguro a los recursos de Google Cloud sin compartir tus credenciales de inicio de sesión. De esta forma, se evita el acceso no autorizado a tus recursos.

A continuación se indican algunas de las prácticas recomendadas que puedes seguir al usar una cuenta de servicio:

Crea una cuenta de servicio independiente para cada tarea o aplicación. De esta forma, puedes gestionar mejor el acceso y hacer un seguimiento de las cuentas de servicio que se usan para cada tarea.
Concede a la cuenta de servicio solo los permisos que necesite para llevar a cabo las tareas que tiene asignadas.
Las claves de las cuentas de servicio suponen un riesgo para la seguridad si no se gestionan adecuadamente. Siempre que sea posible, deberías elegir una alternativa más segura a las claves de cuentas de servicio. Si debes autenticarte con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones descritas en las prácticas recomendadas para gestionar las claves de cuentas de servicio. Si no puedes crear una clave de cuenta de servicio, es posible que la creación de claves de cuenta de servicio esté inhabilitada en tu organización. Para obtener más información, consulta el artículo sobre gestionar recursos de organización seguros de forma predeterminada.
Si has obtenido la clave de cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta los requisitos de seguridad de las credenciales de fuentes externas.
Monitoriza el uso de tus cuentas de servicio y revisa los registros de auditoría para asegurarte de que se usan según lo previsto. De esta forma, podrás detectar cualquier acceso no autorizado o uso inadecuado de las cuentas de servicio.

Para obtener más información, consulta las prácticas recomendadas para trabajar con cuentas de servicio.

Roles personalizados

Los roles personalizados te permiten crear permisos detallados que se adaptan a tus necesidades específicas. Por ejemplo, puedes crear un rol personalizado que permita a una cuenta de servicio leer y escribir datos en un segmento de Cloud Storage, pero no eliminarlo. Los roles personalizados son útiles para gestionar el acceso a tus recursos de Google Cloud y asegurarte de que los usuarios y las aplicaciones solo tengan los permisos necesarios para llevar a cabo las tareas que deben realizar.

Puedes crear roles personalizados con Gestión de Identidades y Accesos (IAM) y asignarlos a usuarios, grupos o cuentas de servicio. Para obtener más información, consulta el artículo Crear un rol personalizado.

Perfiles de autenticación

Un perfil de autenticación te permite configurar y almacenar los detalles de autenticación de una conexión en una integración. Por lo tanto, en lugar de usar una configuración de autenticación codificada, puedes usar la configuración de perfil de autenticación integrada, que proporciona una seguridad mejorada. La integración de aplicaciones admite varios tipos de autenticación en función de la tarea. Para obtener más información, consulta el artículo sobre la compatibilidad de los tipos de autenticación con las tareas.

Para evitar accesos no autorizados y mejorar la seguridad, se recomienda usar un perfil de autenticación si una tarea lo admite.