Esta página foi traduzida pela API Cloud Translation.

Diretrizes de segurança do Application Integration

Este documento descreve as diretrizes e considerações de segurança para o produto Application Integration. Se você não tiver experiência com a Application Integration, sugerimos que comece com a Visão geral da integração de aplicativos.

Contas de serviço

Uma conta de serviço é um tipo especial de conta usada por um aplicativo, e não por uma pessoa. Uma conta de serviço é identificada por um endereço de e-mail exclusivo. Para mais informações, consulte Contas de serviço.

As contas de serviço podem ser usadas para fornecer acesso seguro aos recursos do Google Cloud sem compartilhar suas próprias credenciais de login. Isso impede o acesso não autorizado aos seus recursos.

Confira algumas das práticas recomendadas que você pode seguir ao usar uma conta de serviço:

Crie uma conta de serviço separada para cada tarefa ou aplicativo. Isso permite gerenciar melhor o acesso e acompanhar quais contas de serviço estão sendo usadas para quais tarefas.
Conceda à conta de serviço apenas as permissões necessárias para realizar as tarefas pretendidas.
As chaves da conta de serviço são um risco de segurança quando não são gerenciadas corretamente. Sempre que possível, escolha uma alternativa mais segura para as chaves de conta de serviço. Caso seja necessário autenticar com uma chave de conta de serviço, você será responsável pela segurança da chave privada e por outras operações descritas em Práticas recomendadas para gerenciar chaves de contas de serviço. Se você não conseguiu criar uma chave de conta de serviço, é possível que a criação esteja desativada para sua organização. Para mais informações, consulte Gerenciar recursos da organização com segurança por padrão.
Se você adquiriu a chave de conta de serviço com uma fonte externa, valide-a antes do uso. Para mais informações, consulte Requisitos de segurança para credenciais de fontes externas.
Monitore o uso das suas contas de serviço e analise os registros de auditoria para garantir que elas estejam sendo usadas conforme o esperado. Isso pode ajudar a detectar qualquer acesso não autorizado ou uso indevido de contas de serviço.

Para mais informações, consulte Práticas recomendadas para trabalhar com contas de serviço.

Papéis personalizados

Com os papéis personalizados, você cria permissões detalhadas adaptadas às suas necessidades específicas. Por exemplo, você pode criar um papel personalizado que permita que uma conta de serviço leia e grave dados em um bucket do Cloud Storage, mas não o exclua. As funções personalizadas são úteis para gerenciar o acesso aos recursos do Google Cloud e garantir que usuários e aplicativos tenham apenas as permissões necessárias para realizar as tarefas pretendidas.

É possível criar papéis personalizados usando o Identity and Access Management (IAM) e atribuir os papéis a usuários, grupos ou contas de serviço. Para mais informações, consulte Como criar um papel personalizado.

Perfis de autenticação

Um perfil de autenticação permite configurar e armazenar os detalhes de autenticação da conexão em uma integração. Assim, em vez de usar uma configuração de autenticação codificada, você pode usar a configuração de perfil de autenticação integrada, que oferece mais segurança. Application Integration é compatível com vários tipos de autenticação, dependendo da tarefa. Para mais informações, consulte Compatibilidade de tipos de autenticação com tarefas.

Para evitar acesso não autorizado e aumentar a segurança, recomendamos usar um perfil de autenticação se uma tarefa for compatível com ele.