Diretrizes de segurança da Application Integration

Este documento descreve as diretrizes e considerações de segurança do produto de integração de aplicativos. Se você não tem experiência com a integração de aplicativos, sugerimos que comece com a Visão geral da integração de aplicativos.

Contas de serviço

Uma conta de serviço é um tipo especial de conta usada por um aplicativo, não por uma pessoa. Uma conta de serviço é identificada por um endereço de e-mail exclusivo. Para mais informações, consulte Contas de serviço.

As contas de serviço podem ser usadas para fornecer acesso seguro aos recursos do Google Cloud sem compartilhar suas próprias credenciais de login. Isso impede o acesso não autorizado aos seus recursos.

Confira algumas práticas recomendadas para usar uma conta de serviço:

Crie uma conta de serviço separada para cada tarefa ou aplicativo. Assim, você pode gerenciar melhor o acesso e acompanhar quais contas de serviço estão sendo usadas para quais tarefas.
Conceda à conta de serviço apenas as permissões necessárias para realizar as tarefas.
As chaves da conta de serviço são um risco de segurança quando não são gerenciadas corretamente. Sempre que possível, escolha uma alternativa mais segura para as chaves de conta de serviço. Caso seja necessário autenticar com uma chave de conta de serviço, você será responsável pela segurança da chave privada e por outras operações descritas em Práticas recomendadas para gerenciar chaves de contas de serviço. Se não for possível criar uma chave de conta de serviço, a criação pode ser desativada para sua organização. Para mais informações, consulte Gerenciar recursos da organização com segurança por padrão.
Se você adquiriu a chave de conta de serviço de uma fonte externa, ela precisa ser validada antes do uso. Para mais informações, consulte Requisitos de segurança para credenciais de origem externa.
Monitore o uso das suas contas de serviço e revise os registros de auditoria para garantir que elas estejam sendo usadas conforme o esperado. Isso pode ajudar a detectar qualquer acesso não autorizado ou uso indevido de contas de serviço.

Para mais informações, consulte Práticas recomendadas para trabalhar com contas de serviço.

Papéis personalizados

Com os papéis personalizados, você cria permissões detalhadas que são adaptadas às suas necessidades específicas. Por exemplo, é possível criar um papel personalizado que permita que uma conta de serviço leia e grave dados em um bucket do Cloud Storage, mas não os exclua. As funções personalizadas são úteis para gerenciar o acesso aos seus recursos do Google Cloud e garantir que os usuários e aplicativos tenham apenas as permissões necessárias para realizar as tarefas.

É possível criar papéis personalizados usando o Gerenciamento de identidade e acesso (IAM) e atribuir os papéis a usuários, grupos ou contas de serviço. Para mais informações, consulte Como criar um papel personalizado.

Perfis de autenticação

Um perfil de autenticação permite configurar e armazenar os detalhes de autenticação da conexão em uma integração. Em vez de usar uma configuração de autenticação codificada, use a configuração de perfil de autenticação integrada, que oferece segurança aprimorada. A integração de aplicativos oferece suporte a vários tipos de autenticação, dependendo da tarefa. Para mais informações, consulte Compatibilidade de tipos de autenticação com tarefas.

Para evitar acessos não autorizados e aumentar a segurança, é recomendável usar um perfil de autenticação se uma tarefa oferecer suporte a ele.