Diretrizes de segurança da solução Application Integration

Este documento descreve as diretrizes e as considerações de segurança para o produto de integração de aplicações. Se não tem experiência com a Application Integration, sugerimos que comece pela vista geral da Application Integration.

Contas de serviço

Uma conta de serviço é um tipo especial de conta usada por uma aplicação, em vez de uma pessoa. Uma conta de serviço é identificada por um endereço de email exclusivo. Para mais informações, consulte o artigo Contas de serviço.

As contas de serviço podem ser usadas para fornecer acesso seguro aos recursos do Google Cloud sem partilhar as suas credenciais de início de sessão. Isto impede o acesso não autorizado aos seus recursos.

Seguem-se algumas das práticas recomendadas que pode seguir quando usar uma conta de serviço:

Crie uma conta de serviço separada para cada tarefa ou aplicação. Isto permite-lhe gerir melhor o acesso e monitorizar as contas de serviço que estão a ser usadas para que tarefas.
Conceda à conta de serviço apenas as autorizações de que precisa para realizar as tarefas pretendidas.
As chaves das contas de serviço representam um risco de segurança se não forem geridas corretamente. Deve escolher uma alternativa mais segura às chaves de contas de serviço sempre que possível. Se tiver de fazer a autenticação com uma chave de conta de serviço, é responsável pela segurança da chave privada e por outras operações descritas nas Práticas recomendadas de gestão de chaves de contas de serviço. Se não conseguir criar uma chave de conta de serviço, a criação de chaves de contas de serviço pode estar desativada para a sua organização. Para mais informações, consulte o artigo Gerir recursos da organização seguros por predefinição.
Se adquiriu a chave da conta de serviço a partir de uma fonte externa, tem de a validar antes de a usar. Para mais informações, consulte os Requisitos de segurança para credenciais de origem externa.
Monitorize a utilização das suas contas de serviço e reveja os registos de auditoria para garantir que estão a ser usadas conforme previsto. Isto pode ajudar a detetar qualquer acesso não autorizado ou utilização indevida de contas de serviço.

Para mais informações, consulte o artigo Práticas recomendadas para trabalhar com contas de serviço.

Funções personalizadas

As funções personalizadas permitem-lhe criar autorizações detalhadas adaptadas às suas necessidades específicas. Por exemplo, pode criar uma função personalizada que permita a uma conta de serviço ler e escrever dados num contentor do Cloud Storage, mas não eliminá-lo. As funções personalizadas são úteis na gestão do acesso aos seus recursos do Google Cloud e para garantir que os utilizadores e as aplicações têm apenas as autorizações necessárias para realizar as tarefas pretendidas.

Pode criar funções personalizadas através da gestão de identidade e acesso (IAM) e atribuir as funções a utilizadores, grupos ou contas de serviço. Para mais informações, consulte o artigo Criar uma função personalizada.

Perfis de autenticação

Um perfil de autenticação permite-lhe configurar e armazenar os detalhes de autenticação para a ligação numa integração. Assim, em vez de usar uma configuração de autenticação codificada, pode usar a configuração do perfil de autenticação incorporada, que oferece segurança melhorada. A integração de aplicações suporta vários tipos de autenticação, consoante a tarefa. Para mais informações, consulte a Compatibilidade dos tipos de autenticação com as tarefas.

Para evitar o acesso não autorizado e oferecer segurança melhorada, é recomendado usar um perfil de autenticação se uma tarefa o suportar.