Cette page a été traduite par l'API Cloud Translation.

Consignes de sécurité pour Application Integration

Ce document décrit les consignes et les considérations de sécurité pour le produit Application Integration. Si vous débutez avec Application Integration, nous vous suggérons de commencer par la présentation d'Application Integration.

Comptes de service

Un compte de service est un type de compte spécial utilisé par une application, et non par une personne. Un compte de service est identifié par une adresse e-mail unique. Pour en savoir plus, consultez Comptes de service.

Les comptes de service peuvent être utilisés pour fournir un accès sécurisé aux ressources Google Cloud sans partager vos propres identifiants de connexion. Cela empêche tout accès non autorisé à vos ressources.

Voici quelques bonnes pratiques à suivre lorsque vous utilisez un compte de service :

Créez un compte de service distinct pour chaque tâche ou application. Cela vous permet de mieux gérer l'accès et de savoir quels comptes de service sont utilisés pour quelles tâches.
N'accordez au compte de service que les autorisations dont il a besoin pour effectuer les tâches prévues.
Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites sur la page Bonnes pratiques pour gérer les clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il est possible que la création de clé de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Si vous avez obtenu la clé de compte de service à partir d'une source externe, vous devez la valider avant de l'utiliser. Pour en savoir plus, consultez Exigences de sécurité pour les identifiants provenant de sources externes.
Surveillez l'utilisation de vos comptes de service et consultez les journaux d'audit pour vous assurer qu'ils sont utilisés comme prévu. Cela peut vous aider à détecter tout accès non autorisé ou toute utilisation abusive des comptes de service.

Pour en savoir plus, consultez Bonnes pratiques d'utilisation des comptes de service.

Rôles personnalisés

Les rôles personnalisés vous permettent de créer des autorisations précises adaptées à vos besoins spécifiques. Par exemple, vous pouvez créer un rôle personnalisé qui permet à un compte de service de lire et d'écrire des données dans un bucket Cloud Storage, mais pas de les supprimer. Les rôles personnalisés sont utiles pour gérer l'accès à vos ressources Google Cloud et pour s'assurer que les utilisateurs et les applications ne disposent que des autorisations nécessaires pour effectuer les tâches prévues.

Vous pouvez créer des rôles personnalisés à l'aide d'Identity and Access Management (IAM) et les attribuer à des utilisateurs, des groupes ou des comptes de service. Pour en savoir plus, consultez Créer un rôle personnalisé.

Profils d'authentification

Un profil d'authentification vous permet de configurer et de stocker les détails de l'authentification pour la connexion dans une intégration. Ainsi, au lieu d'utiliser une configuration d'authentification codée en dur, vous pouvez utiliser la configuration de profil d'authentification intégrée, qui offre une sécurité renforcée. Application Integration est compatible avec différents types d'authentification en fonction de la tâche. Pour en savoir plus, consultez Compatibilité des types d'authentification avec les tâches.

Pour éviter tout accès non autorisé et renforcer la sécurité, nous vous recommandons d'utiliser un profil d'authentification si une tâche le permet.