Consignes de sécurité pour Application Integration

Ce document décrit les consignes et les considérations de sécurité concernant le produit Application Integration. Si vous débutez avec Application Integration, nous vous suggérons de commencer par la section Présentation d'Application Integration.

Comptes de service

Un compte de service est un type de compte particulier utilisé par une application, et non par une personne. Un compte de service est identifié par une adresse e-mail unique. Pour en savoir plus, consultez la page Comptes de service.

Les comptes de service peuvent être utilisés pour fournir un accès sécurisé aux ressources Google Cloud sans partager vos propres identifiants de connexion. Cela empêche tout accès non autorisé à vos ressources.

Voici quelques bonnes pratiques à suivre lorsque vous utilisez un compte de service:

Créez un compte de service distinct pour chaque tâche ou application. Vous pouvez ainsi mieux gérer l'accès et suivre les comptes de service utilisés pour quelles tâches.
N'attribuez au compte de service que les autorisations dont il a besoin pour effectuer les tâches prévues.
Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites sur la page Bonnes pratiques pour gérer les clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il est possible que la création de clé de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Si vous avez obtenu la clé de compte de service auprès d'une source externe, vous devez la valider avant de l'utiliser. Pour en savoir plus, consultez la section Exigences de sécurité pour les identifiants provenant de sources externes.
Surveillez l'utilisation de vos comptes de service et examinez les journaux d'audit pour vous assurer qu'ils sont utilisés comme prévu. Cela peut vous aider à détecter tout accès non autorisé ou utilisation abusive de comptes de service.

Pour en savoir plus, consultez Bonnes pratiques d'utilisation des comptes de service.

Rôles personnalisés

Les rôles personnalisés vous permettent de créer des autorisations précises adaptées à vos besoins spécifiques. Par exemple, vous pouvez créer un rôle personnalisé qui permet à un compte de service de lire et d'écrire des données dans un bucket Cloud Storage, mais pas de le supprimer. Les rôles personnalisés sont utiles pour gérer l'accès à vos ressources Google Cloud et vous assurer que les utilisateurs et les applications ne disposent que des autorisations requises pour effectuer les tâches prévues.

Vous pouvez créer des rôles personnalisés à l'aide d'Identity and Access Management (IAM) et les attribuer à des utilisateurs, des groupes ou des comptes de service. Pour en savoir plus, consultez la section Créer un rôle personnalisé.

Profils d'authentification

Un profil d'authentification vous permet de configurer et de stocker les détails de l'authentification pour la connexion dans une intégration. Ainsi, au lieu d'utiliser une configuration d'authentification codée en dur, vous pouvez utiliser la configuration du profil d'authentification intégrée, qui offre une sécurité renforcée. L'intégration d'applications est compatible avec différents types d'authentification en fonction de la tâche. Pour en savoir plus, consultez la section Compatibilité des types d'authentification avec les tâches.

Pour empêcher tout accès non autorisé et renforcer la sécurité, nous vous recommandons d'utiliser un profil d'authentification si une tâche le prend en charge.