Application Integration 安全性指南

本文說明應用程式整合產品的安全指南和注意事項。如果您是第一次使用 Application Integration，建議您先參閱「Application Integration 總覽」一文。

服務帳戶

服務帳戶是一種特殊的帳戶，由應用程式而非使用者所使用。服務帳戶會透過專屬的電子郵件地址做為識別。詳情請參閱「服務帳戶」一文。

您可以使用服務帳戶提供 Google Cloud 資源的安全存取權，而無須分享自己的登入憑證。這麼做可防止未經授權存取資源。

以下是使用服務帳戶時可遵循的部分最佳做法：

為每項工作或應用程式建立個別的服務帳戶。這樣一來，您就能更妥善地管理存取權，並追蹤哪些服務帳戶用於執行哪些工作。
只為服務帳戶授予執行預定工作所需的權限。
如果服務帳戶金鑰管理不當，就會帶來安全風險。因此請盡可能選擇比服務帳戶金鑰更安全的替代方案。如果您必須使用服務帳戶金鑰進行驗證，則您必須負責維護私密金鑰的安全，並負責管理服務帳戶金鑰的最佳做法所述的其他作業。如果您無法建立服務帳戶金鑰，表示貴機構可能已停用服務帳戶金鑰建立功能。詳情請參閱「管理預設安全的機構資源」。
如果您是從外部來源取得服務帳戶金鑰，則必須先驗證金鑰再使用。詳情請參閱「外部來源憑證的安全性規定」。
監控服務帳戶的使用情形，並查看稽核記錄，確保服務帳戶的使用方式符合預期。這有助於您偵測任何未經授權的存取行為或服務帳戶濫用行為。

您可以使用自訂角色建立精細的權限，以滿足特定需求。舉例來說，您可以建立自訂角色，允許服務帳戶讀取資料並將資料寫入 Cloud Storage 值區，但不允許刪除資料。自訂角色可用於管理 Google Cloud 資源的存取權，並確保使用者和應用程式僅擁有執行指定工作所需的權限。

您可以使用身分和存取權管理 (IAM) 建立自訂角色，並將角色指派給使用者、群組或服務帳戶。詳情請參閱「建立自訂角色」。

驗證設定檔可讓您針對整合中的連線，設定及儲存驗證詳細資料。因此，您可以使用內建的驗證設定檔設定，而非使用硬式編碼的驗證設定，這樣可以強化安全性。應用程式整合功能支援多種驗證類型，具體取決於工作。詳情請參閱「驗證類型與工作相容性」。

為避免未經授權的存取行為並提供更強的安全性，建議您在任務支援時使用驗證設定檔。