Lineamientos de seguridad de Application Integration

En este documento, se describen los lineamientos y las consideraciones de seguridad del producto Integration. Si es la primera vez que usas Application Integration, te sugerimos que comiences con la descripción general de Application Integration.

Cuentas de servicio

Una cuenta de servicio es un tipo especial de cuenta que usa una aplicación, no una persona. Una cuenta de servicio se identifica por una dirección de correo electrónico única. Para obtener más información, consulta Cuentas de servicio.

Las cuentas de servicio se pueden usar para proporcionar acceso seguro a los recursos de Google Cloud sin compartir tus propias credenciales de acceso. Esto evita el acceso no autorizado a tus recursos.

A continuación, se indican algunas de las prácticas recomendadas que puedes seguir cuando usas una cuenta de servicio:

Crea una cuenta de servicio independiente para cada tarea o aplicación. Esto te permite administrar mejor el acceso y hacer un seguimiento de qué cuentas de servicio se usan para qué tareas.
Otórgale a la cuenta de servicio solo los permisos que necesita para realizar las tareas previstas.
Las claves de cuenta de servicio son un riesgo de seguridad si no se administran de forma adecuada. Debes elegir una alternativa más segura a las claves de la cuenta de servicio siempre que sea posible. Si te debes autenticar con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones que se describen en Prácticas recomendadas para administrar claves de cuenta de servicio. Si no se te permite crear una clave de cuenta de servicio, es posible que la creación de claves de cuentas de servicio esté inhabilitada para tu organización. Para obtener más información, consulta Administra los recursos de la organización con seguridad de forma predeterminada.
Si adquiriste la clave de la cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta Requisitos de seguridad para credenciales de fuentes externas.
Supervisa el uso de tus cuentas de servicio y revisa los registros de auditoría para asegurarte de que se usen según lo previsto. Esto puede ayudarte a detectar cualquier acceso no autorizado o uso inadecuado de las cuentas de servicio.

Si quieres obtener más información, consulta Prácticas recomendadas para trabajar con cuentas de servicio.

Funciones personalizadas

Los roles personalizados te permiten crear permisos detallados que se adaptan a tus necesidades específicas. Por ejemplo, puedes crear un rol personalizado que permita que una cuenta de servicio lea y escriba datos en un bucket de Cloud Storage, pero no los borre. Los roles personalizados son útiles para administrar el acceso a tus recursos de Google Cloud y garantizar que los usuarios y las aplicaciones tengan solo los permisos necesarios para realizar las tareas previstas.

Puedes crear roles personalizados con Identity and Access Management (IAM) y asignarlos a usuarios, grupos o cuentas de servicio. Para obtener más información, consulta Cómo crear un rol personalizado.

Perfiles de autenticación

Un perfil de autenticación te permite configurar y almacenar los detalles de autenticación para la conexión en una integración. Por lo tanto, en lugar de usar una configuración de autenticación hard-coded, puedes usar la configuración del perfil de autenticación integrada, que proporciona seguridad mejorada. La integración de aplicaciones admite varios tipos de autenticación según la tarea. Para obtener más información, consulta Compatibilidad de tipos de autenticación con tareas.

Para evitar el acceso no autorizado y proporcionar una seguridad mejorada, se recomienda usar un perfil de autenticación si una tarea lo admite.