Panduan keamanan Application Integration

Dokumen ini menjelaskan pedoman dan pertimbangan keamanan untuk produk Integration Aplikasi. Jika Anda baru mengenal Integration Aplikasi, sebaiknya mulai dengan Ringkasan Integration Aplikasi.

Akun layanan

Akun layanan adalah jenis akun khusus yang digunakan oleh aplikasi, bukan pengguna. Akun layanan diidentifikasi dengan alamat email unik. Untuk informasi selengkapnya, lihat Akun layanan.

Akun layanan dapat digunakan untuk memberikan akses aman ke resource Google Cloud tanpa membagikan kredensial login Anda sendiri. Tindakan ini mencegah akses yang tidak sah ke resource Anda.

Berikut adalah beberapa praktik terbaik yang dapat Anda ikuti saat menggunakan akun layanan:

Buat akun layanan terpisah untuk setiap tugas atau aplikasi. Hal ini memungkinkan Anda mengelola akses dan melacak akun layanan mana yang digunakan untuk tugas mana dengan lebih baik.
Hanya berikan izin yang diperlukan akun layanan untuk melakukan tugas yang diinginkan.
Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lainnya yang dijelaskan oleh Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.
Jika Anda memperoleh kunci akun layanan dari sumber eksternal, Anda harus memvalidasinya sebelum digunakan. Untuk informasi selengkapnya, lihat Persyaratan keamanan untuk kredensial yang bersumber secara eksternal.
Pantau penggunaan akun layanan Anda dan tinjau log audit untuk memastikan bahwa akun tersebut digunakan seperti yang diinginkan. Hal ini dapat membantu Anda mendeteksi akses tidak sah atau penyalahgunaan akun layanan.

Untuk informasi selengkapnya, lihat Praktik terbaik untuk menggunakan akun layanan.

Peran khusus

Peran khusus memungkinkan Anda membuat izin terperinci yang disesuaikan dengan kebutuhan khusus Anda. Misalnya, Anda dapat membuat peran kustom yang memungkinkan akun layanan membaca dan menulis data ke bucket Cloud Storage, tetapi tidak menghapusnya. Peran kustom berguna dalam mengelola akses ke resource Google Cloud Anda dan memastikan bahwa pengguna dan aplikasi hanya memiliki izin yang diperlukan untuk melakukan tugas yang diinginkan.

Anda dapat membuat peran kustom menggunakan Identity and Access Management (IAM) dan menetapkan peran tersebut kepada pengguna, grup, atau akun layanan. Untuk mengetahui informasi selengkapnya, lihat Membuat peran kustom.

Profil autentikasi

Profil autentikasi memungkinkan Anda mengonfigurasi dan menyimpan detail autentikasi untuk koneksi dalam integrasi. Jadi, daripada menggunakan konfigurasi autentikasi hard code, Anda dapat menggunakan konfigurasi profil autentikasi bawaan yang memberikan keamanan yang ditingkatkan. Integrasi Aplikasi mendukung berbagai jenis autentikasi, bergantung pada tugas. Untuk mengetahui informasi selengkapnya, lihat Kompatibilitas jenis autentikasi dengan tugas.

Untuk mencegah akses yang tidak sah dan memberikan keamanan yang lebih baik, sebaiknya gunakan profil autentikasi jika tugas mendukungnya.