Consulte os conectores compatíveis com a integração de aplicativos.

Visão geral do controle de acesso

Quando você cria um projeto do Google Cloud, é o único administrador principal. Por padrão, nenhum outro principal (usuários, grupos ou contas de serviço) tem acesso ao seu projeto ou aos recursos dele. Depois de provisionar a integração de aplicativos no seu projeto, você pode adicionar novos participantes e definir o controle de acesso para os recursos de integração de aplicativos.

A integração de aplicativos usa o gerenciamento de identidade e acesso (IAM) para gerenciar o controle de acesso no seu projeto. É possível usar o IAM para gerenciar o acesso no nível do projeto ou do recurso:

  • Para conceder acesso a recursos no nível do projeto, atribua um ou mais papéis a um principal.
  • Para conceder acesso a um recurso específico, defina uma política do IAM nele. O recurso precisa oferecer suporte para políticas no nível do recurso. A política define os papéis que são atribuídos aos quais principais.

Papéis IAM

Cada principal do seu projeto do Google Cloud recebe um papel com permissões específicas. Ao adicionar um principal a um projeto ou recurso, você especifica quais papéis serão concedidos. Cada papel do IAM contém um conjunto de permissões que permitem que o principal realize ações específicas no recurso.

Para saber mais sobre os diferentes tipos de papéis no IAM, consulte Noções básicas sobre papéis.

Para informações sobre como conceder papéis a principais, consulte Como conceder, alterar e revogar acesso.

O Application Integration oferece um conjunto específico de papéis do IAM predefinidos. É possível usar esses papéis para conceder acesso a recursos específicos do Application Integration e impedir o acesso indesejado a outros recursos do Google Cloud.

Contas de serviço

As contas de serviço são contas do Google Cloud associadas ao seu projeto que podem realizar tarefas ou operações em seu nome. Papéis e permissões são atribuídos às contas de serviço da mesma forma que os principais, usando o IAM. Para mais informações sobre contas de serviço e os diferentes tipos de contas de serviço, consulte Contas de serviço do IAM.

É preciso conceder os devidos papéis do IAM a uma conta de serviço para permitir que ela acesse os métodos de API relevantes. Quando você concede um papel do IAM a uma conta de serviço, qualquer integração que tenha essa conta de serviço anexada terá a autorização concedida por esse papel. Se não houver um papel predefinido para o nível de acesso desejado, crie e conceda papéis personalizados.

A Application Integration usa dois tipos de contas de serviço:

Conta serviço gerenciado pelo usuário

Uma conta de serviço gerenciado pelo usuário pode ser anexada a uma integração para fornecer credenciais para executar a tarefa. Para mais informações, consulte Contas de serviço gerenciadas pelo usuário.

A autorização fornecida à integração é limitada por duas configurações diferentes: os papéis concedidos à conta de serviço anexada e os escopos de acesso. As duas configurações precisam permitir o acesso antes que a integração possa executar a tarefa.

Uma conta de serviço gerenciada pelo usuário tem o seguinte endereço de e-mail:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

Conta padrão de serviço

Os novos projetos do Google Cloud que provisionaram o Application Integration têm uma conta de serviço padrão, com o seguinte endereço de e-mail:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

A conta de serviço padrão do Application Integration é criada durante o provisionamento e adicionada automaticamente ao projeto com as permissões e os papéis básicos do IAM. Para mais informações, consulte Contas de serviço padrão.

Para informações sobre como conceder papéis ou permissões adicionais à conta de serviço padrão, consulte Como conceder, alterar e revogar o acesso.

Adicionar uma conta de serviço

A Application Integration oferece duas maneiras de adicionar uma conta de serviço à sua integração:

Regra de autenticação

Se a integração tiver um perfil OAuth 2.0 e uma conta de serviço gerenciada pelo usuário configurados, o perfil OAuth 2.0 será usado para a autenticação por padrão. Se nem o perfil do OAuth 2.0 nem a conta de serviço gerenciada pelo usuário estiverem configurados, a conta de serviço padrão (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com) será usada. Se a tarefa não usar a conta de serviço padrão, a execução falhará.

Regra de autorização

Se você anexar uma conta de serviço à integração, será necessário determinar o nível de acesso que a conta de serviço tem pelos papéis do IAM que você concedido para a conta de serviço. Se a conta de serviço não tiver papéis do IAM, nenhum recurso poderá pode ser acessado usando a conta de serviço.

Os escopos de acesso podem limitar ainda mais o acesso à API ao autenticar por meio do OAuth. No entanto, eles não se estendem a outros protocolos de autenticação, como o gRPC.

Papéis IAM

É preciso conceder os devidos papéis do IAM a uma conta de serviço para permitir que ela acesse os métodos de API relevantes.

Quando você concede um papel do IAM a uma conta de serviço, qualquer integração conta de serviço anexada, terá a autorização concedida por esse papel.

Escopos de acesso

Os escopos de acesso são o método legado de especificação das permissões da sua integração. Eles definem os escopos padrão do OAuth usados nas solicitações da a CLI gcloud ou as bibliotecas de cliente. Os escopos permitem especificar permissões de acesso aos usuários. Você pode especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google. Para contas de serviço gerenciadas pelo usuário, o escopo é predefinido para o seguinte:

https://www.googleapis.com/auth/cloud-platform