请参阅 Application Integration 支持的连接器。
Application Integration 安全准则
本文档介绍了 Application Integration 产品的安全准则和注意事项。如果您刚开始接触 Application Integration,我们建议您先从 Application Integration 概览开始。
服务账号
服务帐号是应用(而不是个人)使用的特殊帐号。服务帐号由唯一的电子邮件地址标识。如需了解详情,请参阅服务帐号。
服务帐号可用于提供对 Google Cloud 资源的安全访问,而无需共享您自己的登录凭据。这可以防止他人在未经授权的情况下访问您的资源。
以下是使用服务帐号时可以遵循的一些最佳实践:
- 为每个任务或应用创建单独的服务帐号。这样,您就可以更好地管理访问权限,并跟踪哪些服务帐号正用于哪些任务。
- 仅向服务帐号授予执行预期任务所需的权限。
- 如果服务账号密钥未正确管理,则会带来安全风险。您应该尽可能选择更安全的服务账号密钥替代方案。如果您必须使用服务帐号密钥进行身份验证,则需要负责私钥的安全性以及 管理服务帐号密钥的最佳实践中所述的其他操作。如果系统阻止您创建服务帐号密钥,您的组织可能会停用服务帐号密钥创建功能。如需了解详情,请参阅 管理默认安全的组织资源。
- 监控服务帐号的使用情况并检查审核日志,以确保服务帐号按预期使用。这有助于您检测服务账号的任何未经授权的访问或滥用情况。
如需了解详情,请参阅 使用服务帐号的最佳做法。
自定义角色
通过自定义角色,您可以根据自己的具体需求创建细化的权限。例如,您可以创建一个自定义角色,以允许服务帐号对 Cloud Storage 存储桶执行读写操作,但不能删除存储分区。 自定义角色有助于管理对 Google Cloud 资源的访问权限,并确保用户和应用仅具有执行其预期任务所需的权限。
您可以使用 Identity and Access Management (IAM) 创建自定义角色,并将角色分配给用户、群组或服务帐号。如需了解详情,请参阅创建自定义角色。
身份验证配置文件
通过身份验证配置文件,您可以在集成中配置和存储连接的身份验证详细信息。因此,您可以使用内置的身份验证配置文件配置,而不是硬编码的身份验证配置,该配置可提高安全性。Application Integration 支持各种身份验证类型,具体取决于任务。如需了解详情,请参阅身份验证类型与任务的兼容性。
为防止未经授权的访问并提高安全性,建议使用身份验证配置文件(如果任务支持)。