Diretrizes de segurança da Application Integration
Este documento descreve as diretrizes e considerações de segurança do
produto de integração de aplicativos. Se você não tem experiência com a
integração de aplicativos, sugerimos que comece com a
Visão geral da integração de aplicativos.
Contas de serviço
Uma conta de serviço é um tipo especial de conta usada por um aplicativo, não por uma pessoa.
Uma conta de serviço é identificada por um endereço de e-mail exclusivo. Para mais informações, consulte
Contas de serviço.
As contas de serviço podem ser usadas para fornecer acesso seguro aos recursos do Google Cloud sem
compartilhar suas próprias credenciais de login. Isso impede o acesso não autorizado aos seus recursos.
Confira algumas práticas recomendadas para usar uma conta de serviço:
Crie uma conta de serviço separada para cada tarefa ou aplicativo. Assim, você pode gerenciar melhor o acesso e acompanhar quais contas de serviço estão sendo usadas para quais tarefas.
Conceda à conta de serviço apenas as permissões necessárias para realizar as tarefas.
Monitore o uso das suas contas de serviço e revise os registros de auditoria para garantir que elas estejam sendo usadas conforme o esperado. Isso pode ajudar a detectar qualquer acesso não autorizado ou
uso indevido de contas de serviço.
Com os papéis personalizados, você cria permissões detalhadas que são adaptadas às suas necessidades específicas. Por exemplo, é possível criar um papel personalizado que permita que uma conta de serviço leia e grave dados em um bucket do Cloud Storage, mas não os exclua.
As funções personalizadas são úteis para gerenciar o acesso aos seus recursos do Google Cloud e garantir que
os usuários e aplicativos tenham apenas as permissões necessárias para realizar as tarefas.
Um perfil de autenticação permite configurar e armazenar os detalhes de autenticação
da conexão em uma integração. Em vez de usar uma configuração de autenticação
codificada, use a configuração de perfil de autenticação integrada, que oferece
segurança aprimorada. A integração de aplicativos oferece suporte a vários
tipos de autenticação, dependendo da tarefa. Para mais informações, consulte
Compatibilidade
de tipos de autenticação com tarefas.
Para evitar acessos não autorizados e aumentar a segurança, é recomendável
usar um perfil de autenticação se uma tarefa oferecer suporte a ele.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-03 UTC."],[[["\u003cp\u003eApplication Integration uses service accounts, which are special accounts used by applications for secure access to Google Cloud resources, preventing unauthorized access.\u003c/p\u003e\n"],["\u003cp\u003eBest practices for using service accounts include creating separate accounts for each task, granting minimal permissions, and choosing more secure alternatives to service account keys whenever possible.\u003c/p\u003e\n"],["\u003cp\u003eCustom roles in Application Integration provide tailored permissions, allowing for fine-grained control over access to Google Cloud resources for users and service accounts.\u003c/p\u003e\n"],["\u003cp\u003eAuthentication profiles offer enhanced security by storing connection authentication details, which is recommended over hard-coded configurations, and varies across the tasks.\u003c/p\u003e\n"],["\u003cp\u003eValidation of service account keys is critical if they were acquired externally.\u003c/p\u003e\n"]]],[],null,["# Application Integration security guidelines\n\nSee the [supported connectors](/integration-connectors/docs/connector-reference-overview) for Application Integration.\n\nApplication Integration security guidelines\n===========================================\n\n\nThis document describes the security guidelines and considerations for the\nApplication Integration product. If you are new to\nApplication Integration, we suggest that you start with\n[Application Integration overview](/application-integration/docs/overview).\n\nService accounts\n----------------\n\nA service account is a special kind of account used by an application, rather than a person.\nA service account is identified by a unique email address. For more information, see\n[Service accounts](/iam/docs/service-accounts).\n\n\nService accounts can be used to provide secure access to the Google Cloud resources without\nsharing your own login credentials. This prevents unauthorized access to your resources.\n\nThe following are some of the best practices that you can follow when using a service account:\n\n- Create a separate service account for each task or application. This lets you better manage access and keep track of which service accounts are being used for which tasks.\n- Grant the service account only the permissions that it needs to perform its intended tasks.\n- Service account keys are a security risk if not managed correctly. You should [choose a more secure alternative to service account keys](/docs/authentication#auth-decision-tree) whenever possible. If you must authenticate with a service account key, you are responsible for the security of the private key and for other operations described by [Best practices for managing service account keys](/iam/docs/best-practices-for-managing-service-account-keys). If you are prevented from creating a service account key, service account key creation might be disabled for your organization. For more information, see [Managing secure-by-default organization resources](/resource-manager/docs/secure-by-default-organizations).\n\n\n If you acquired the service account key from an external source, you must validate it before use.\n For more information, see [Security requirements for externally sourced credentials](/docs/authentication/external/externally-sourced-credentials).\n- Monitor the usage of your service accounts and review the audit logs to ensure that they are being used as intended. This can help you to detect any unauthorized access or misuse of service accounts.\n\nFor more information, see [Best practices for working with service accounts](/iam/docs/best-practices-service-accounts).\n\nCustom roles\n------------\n\nCustom roles let you create fine-grained permissions that are tailored to your specific\nneeds. For example, you may create a custom role that allows a service account to read\nand write data to a Cloud Storage bucket, but not delete it.\nCustom roles are useful in managing access to your Google Cloud resources and ensuring that\nusers and applications have only the permissions required to perform their intended tasks.\n\n\nYou can create custom roles using the [Identity and Access Management (IAM)](/iam/docs)\nand assign the roles to users, groups, or service accounts. For more information,\nsee [Creating a custom role](/iam/docs/creating-custom-roles#creating_a_custom_role).\n\nAuthentication profiles\n-----------------------\n\nAn authentication profile lets you configure and store the authentication details\nfor the connection in an integration. So, instead of using a hard-coded authentication\nconfiguration, you can use the in-built authentication profile configuration which provides\nenhanced security. Application Integration supports various\nauthentication types depending on the task. For more information, see\n[Compatibility\nof authentication types with tasks](/application-integration/docs/configure-authentication-profiles#compatibleTasks).\n\nTo prevent unauthorized access and provide enhanced security, it's recommended\nto use an authentication profile if a task supports it."]]