本頁面由 Cloud Translation API 翻譯而成。

Application Integration 安全性指南

本文說明 Application Integration 產品的安全防護指南和注意事項。如果您是第一次使用 Application Integration，建議先參閱Application Integration 總覽。

服務帳戶

服務帳戶是由應用程式使用，而非由真人使用。服務帳戶會透過專屬電子郵件地址來識別。詳情請參閱服務帳戶。

服務帳戶可用於安全存取 Google Cloud 資源，不必分享自己的登入憑證。這可防止未經授權存取資源。

使用服務帳戶時，請遵循下列最佳做法：

為每項工作或應用程式建立個別的服務帳戶。這樣一來，您就能更妥善地管理存取權，並追蹤哪些服務帳戶用於哪些工作。
只授予服務帳戶執行預定工作所需的權限。
如未妥善管理服務帳戶金鑰，可能會產生安全性風險，請盡可能選用比服務帳戶金鑰還要安全的替代方案。如必須使用服務帳戶金鑰進行驗證，您有責任保護私密金鑰的安全，並執行管理服務帳戶金鑰的最佳做法一文所述的其他作業。假如無法建立服務帳戶金鑰，可能是因為貴組織已停用這項功能。詳情請參閱「管理預設安全機構資源」。
如果您是從外部來源取得服務帳戶金鑰，必須先驗證金鑰，才能使用。詳情請參閱「外部來源憑證的安全規定」一節。
監控服務帳戶的使用情形，並查看稽核記錄，確保服務帳戶的用途符合預期。這有助於偵測服務帳戶是否遭到未經授權的存取或濫用。

自訂角色可讓您建立精細的權限，滿足特定需求。舉例來說，您可以建立自訂角色，允許服務帳戶讀取及寫入 Cloud Storage bucket 中的資料，但不允許刪除資料。自訂角色有助於管理 Google Cloud 資源的存取權，確保使用者和應用程式只具備執行預期工作所需的權限。

您可以使用 Identity and Access Management (IAM) 建立自訂角色，並將角色指派給使用者、群組或服務帳戶。詳情請參閱「建立自訂角色」。

驗證設定檔可讓您針對整合中的連線，設定及儲存驗證詳細資料。因此，您可以改用內建的驗證設定檔設定，而非硬式編碼的驗證設定，以提升安全性。Application Integration 支援多種驗證類型，具體視工作而定。詳情請參閱「驗證類型與工作相容性」。

為防止未經授權的存取行為並提升安全性，建議您在工作支援驗證設定檔時使用該設定檔。