Creación de cuentas de servicio y grupos en Google Cloud IAM

Clase 12 de 31Curso de Google Associate Cloud Engineer Certification

Clase anteriorSiguiente clase

Resumen

Gestionar permisos en Google Cloud requiere claridad y precisión. Aquí encontrarás una explicación directa de IAM para crear y administrar identidades de forma segura: miembros, roles y políticas, con ejemplos prácticos en la consola.

¿Qué es IAM en Google Cloud y por qué importa?

IAM, llamado en la consola Identity Access Manage, controla quién puede hacer qué en tus recursos. Se usa de forma recurrente al trabajar con proyectos, carpetas y servicios. Por ejemplo, para crear folders en la organización necesitas permisos adecuados, así que IAM es el eje de la administración segura en Google Cloud.

¿Cómo se definen miembros, roles y políticas en IAM?

La base de IAM se compone de tres elementos: miembros, roles y políticas. Los miembros representan identidades; los roles, las acciones permitidas; las políticas, las condiciones que aplican a esas asignaciones.

¿Qué tipos de miembros existen?

  • Cuentas de usuario: correos personales o corporativos. Por ejemplo, una cuenta Gmail o una cuenta con tu dominio.
  • Grupos de Google: un correo que representa a varias personas, como developers@micompañia.com.
  • Cuentas de servicio: identidades tipo “robot” para automatizar tareas sin usar cuentas personales.
  • Dominios completos: asignaciones amplias al dominio, como permitir que @midominio cree proyectos en la organización.
  • Identidades federadas: integración con gestores externos de identidad, como Outlook u Office 365, para autenticación y autorización centralizada.

¿Qué tipos de roles conviene usar?

  • Roles primarios: owner, editor y visualizador. El owner administra todo, incluidos permisos. El editor puede cambiar recursos pero no gestionar permisos. El visualizador solo observa.
  • Roles predefinidos: diseñados por Google Cloud con mayor granularidad, como acceso a bases de datos, edición de máquinas virtuales o visualización en BigQuery.
  • Roles personalizados: agrupan permisos a nivel de API. Es un tema profundo; para preparación de Google Cloud Associate Engineer, se priorizan roles primarios y predefinidos.

¿Cómo funcionan las políticas con condiciones y tiempo?

Las políticas añaden condiciones a los permisos. Un ejemplo: otorgar a Felipe Muñoz el rol de owner por solo tres meses. Esa temporalidad se expresa como política asociada al permiso. Este enfoque permite controlar acceso con caducidad y mantener buenas prácticas en la administración.

¿Cómo crear una cuenta de servicio y un grupo paso a paso?

A continuación verás el flujo en la consola para crear una cuenta de servicio y un grupo de Google, preparando el terreno para asignar permisos a identidades individuales o colectivas.

¿Cómo crear una cuenta de servicio en la consola?

  • Entra con tu cuenta en la consola: console.cloud.google.com.
  • Verifica que estás en el proyecto correcto.
  • Ve a Menú principal > IAM y Administración > Cuentas de servicio.
  • Haz clic en Crear cuenta de servicio.
  • Asigna un nombre, por ejemplo, “robot”.
  • Observa el formato del correo: nombre@ID_PROYECTO.iam.gserviceaccount.com.
  • Haz clic en Crear y continuar. No asignes permisos todavía; se puede hacer después.
  • Finaliza con Continuar y Listo. Para su uso, más adelante podrás trabajar con llaves.
  • Existe otra opción avanzada para usar cuentas de servicio: workload identity o federación de identidades.

¿Cómo crear un grupo de Google para permisos?

  • Abre groups.google.com en una nueva pestaña.
  • Requiere tener una organización configurada.
  • Crea un grupo con nombre, por ejemplo, “Developers”.
  • Verás que el grupo tiene un correo propio; no es de una persona, es del grupo.
  • Revisa permisos del grupo: quién puede ver conversaciones, publicar y ver miembros. Deja valores por defecto si lo prefieres.
  • Añade miembros ahora o más tarde; puede incluir usuarios dentro o fuera de la organización.
  • Crea el grupo. Podrás usar un correo como developers@plexitraining.com para asignar permisos a varias personas a la vez en IAM.

Con estas prácticas desarrollarás habilidades clave: - Diferenciar miembros, roles y políticas y cómo se relacionan. - Usar roles primarios y predefinidos de forma segura. - Crear y gestionar cuentas de servicio para automatización. - Administrar grupos de Google para permisos a nivel de equipo. - Aplicar políticas con tiempo para accesos temporales.

¿Te animas a practicar? Crea más grupos, genera más cuentas de servicio y prueba a asignar permisos al grupo y a la cuenta. Si quieres, comparte tus dudas y experiencias para seguir mejorando juntos.