Application Integration 安全指南

本文档介绍了 Application Integration 产品的安全指南和注意事项。如果您刚接触 Application Integration，建议您先查阅 Application Integration 概览。

服务账号

服务账号是一种由应用（而非个人）使用的特殊账号。服务账号由唯一的电子邮件地址标识。如需了解详情，请参阅服务账号。

服务账号可用于提供对 Google Cloud 资源的安全访问权限，而无需分享您自己的登录凭据。这可以防止未经授权的用户访问您的资源。

以下是使用服务账号时可以遵循的一些最佳实践：

• 为每个任务或应用创建单独的服务账号。这样，您就可以更好地管理访问权限，并跟踪哪些服务账号用于哪些任务。
• 仅向服务账号授予执行其预期任务所需的权限。
• 如果服务账号密钥未正确管理，则会带来安全风险。您应该尽可能选择更安全的服务账号密钥替代方案。如果必须使用服务账号密钥进行身份验证，您将负责私钥的安全性以及管理服务账号密钥的最佳实践中所述的其他操作。如果系统阻止您创建服务账号密钥，您的组织可能会停用服务账号密钥创建功能。如需了解详情，请参阅 管理默认安全的组织资源。

  如果您是从外部来源获取服务账号密钥，则必须先验证密钥，然后才能使用。如需了解详情，请参阅外部来源凭据的安全要求。

• 监控服务账号的使用情况并查看审核日志，以确保服务账号的使用方式符合预期。这有助于您检测任何未经授权的服务账号访问或滥用行为。

如需了解详情，请参阅 使用服务账号的最佳实践。

自定义角色

借助自定义角色，您可以创建根据您的具体需求量身定制的精细权限。例如，您可以创建一个自定义角色，允许服务账号读取和写入 Cloud Storage 存储桶中的数据，但不允许删除数据。自定义角色有助于管理对 Google Cloud 资源的访问权限，并确保用户和应用仅拥有执行预期任务所需的权限。

您可以使用 Identity and Access Management (IAM) 创建自定义角色，并将这些角色分配给用户、群组或服务账号。如需了解详情，请参阅创建自定义角色。

身份验证配置文件

通过身份验证配置文件，您可以在集成中配置并存储连接的身份验证详细信息。因此，您可以使用内置的身份验证配置文件配置，而不是使用硬编码的身份验证配置，这样可以提高安全性。Application Integration 支持各种身份验证类型，具体取决于任务。如需了解详情，请参阅身份验证类型与任务的兼容性。

为防止未经授权的访问并增强安全性，建议您在任务支持的情况下使用身份验证配置文件。