Lineamientos de seguridad de Application Integration

En este documento, se describen los lineamientos y las consideraciones de seguridad para el producto Application Integration. Si recién comienzas a usar Application Integration, te sugerimos que comiences con la descripción general de Application Integration.

Cuentas de servicio

Una cuenta de servicio es un tipo especial de cuenta que usa una aplicación, en lugar de una persona. Una cuenta de servicio se identifica con una dirección de correo electrónico única. Para obtener más información, consulta Cuentas de servicio.

Las cuentas de servicio se pueden usar para proporcionar acceso seguro a los recursos de Google Cloud sin compartir tus propias credenciales de acceso. Esto evita el acceso no autorizado a tus recursos.

Estas son algunas de las prácticas recomendadas que puedes seguir cuando uses una cuenta de servicio:

  • Crea una cuenta de servicio independiente para cada tarea o aplicación. Esto te permite administrar mejor el acceso y hacer un seguimiento de qué cuentas de servicio se usan para qué tareas.
  • Otorga a la cuenta de servicio solo los permisos que necesita para realizar las tareas previstas.
  • Las claves de cuenta de servicio son un riesgo de seguridad si no se administran de forma adecuada. Debes elegir una alternativa más segura a las claves de la cuenta de servicio siempre que sea posible. Si te debes autenticar con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones que se describen en Prácticas recomendadas para administrar claves de cuenta de servicio. Si no se te permite crear una clave de cuenta de servicio, es posible que la creación de claves de cuentas de servicio esté inhabilitada para tu organización. Para obtener más información, consulta Administra los recursos de la organización con seguridad de forma predeterminada.

    Si adquiriste la clave de la cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta Requisitos de seguridad para las credenciales de fuentes externas.

  • Supervisa el uso de tus cuentas de servicio y revisa los registros de auditoría para asegurarte de que se usen según lo previsto. Esto puede ayudarte a detectar cualquier acceso no autorizado o uso inadecuado de las cuentas de servicio.

Si deseas obtener más información, consulta Prácticas recomendadas para trabajar con cuentas de servicio.

Funciones personalizadas

Los roles personalizados te permiten crear permisos detallados que se adaptan a tus necesidades específicas. Por ejemplo, puedes crear un rol personalizado que permita que una cuenta de servicio lea y escriba datos en un bucket de Cloud Storage, pero no que los borre. Los roles personalizados son útiles para administrar el acceso a tus recursos de Google Cloud y garantizar que los usuarios y las aplicaciones solo tengan los permisos necesarios para realizar las tareas previstas.

Puedes crear roles personalizados con Identity and Access Management (IAM) y asignarlos a usuarios, grupos o cuentas de servicio. Para obtener más información, consulta Cómo crear un rol personalizado.

Perfiles de autenticación

Un perfil de autenticación te permite configurar y almacenar los detalles de autenticación para la conexión en una integración. Por lo tanto, en lugar de usar una configuración de autenticación codificada, puedes usar la configuración de perfil de autenticación integrada que proporciona mayor seguridad. Application Integration admite varios tipos de autenticación según la tarea. Para obtener más información, consulta Compatibilidad de los tipos de autenticación con las tareas.

Para evitar el acceso no autorizado y proporcionar mayor seguridad, se recomienda usar un perfil de autenticación si una tarea lo admite.