Cuentas de servicio: creación y autenticación con claves JSON

Clase 12 de 31Curso de Google Associate Cloud Engineer Certification

Clase anteriorSiguiente clase

Resumen

Objetivo del profesor

El objetivo de esta clase era que los estudiantes comprendieran qué son las cuentas de servicio en Google Cloud, cuándo utilizarlas y cómo implementarlas prácticamente mediante la creación de llaves JSON para autenticación automática de aplicaciones y servicios.

Habilidades desarrolladas

  • Gestión de cuentas de servicio: Crear y configurar cuentas de servicio en Google Cloud
  • Administración de políticas organizacionales: Modificar políticas de seguridad a nivel de organización
  • Autenticación programática: Implementar autenticación usando llaves JSON
  • Gestión de permisos IAM: Asignar roles específicos a cuentas de servicio
  • Uso de Cloud Shell: Manipular archivos y ejecutar comandos de autenticación

Conceptos clave

  • Cuenta de servicio: Cuenta gestionada por Google Cloud para acceso automático de aplicaciones y servicios
  • Llaves JSON: Archivos de credenciales que permiten autenticación programática
  • Workload Identity: Método más seguro para autenticación sin llaves JSON (mencionado como alternativa)
  • Políticas de organización: Reglas de seguridad aplicadas a nivel organizacional
  • Vector de ataque: Vulnerabilidades de seguridad relacionadas con mal manejo de llaves

Palabras clave importantes

  • Service Account
  • JSON Keys
  • IAM (Identity and Access Management)
  • Organization Policies
  • Cloud Shell
  • Backend services
  • Workload Identity
  • gcloud auth activate-service-account

Hechos importantes

  • [00:27] Las cuentas de servicio son como "robots" que actúan automáticamente
  • [01:34] Las máquinas virtuales siempre actúan a nombre de cuentas de servicio
  • [02:06] Las cuentas de servicio tienen emails únicos con formato: @[proyecto].iam
  • [02:46] Las cuentas de servicio pueden ser vectores de ataque si no se configuran correctamente
  • [04:22] Por defecto, las organizaciones nuevas tienen políticas que previenen la creación de llaves JSON
  • [07:01] Google cambió el comportamiento por defecto debido a filtración de llaves en repositorios públicos
  • [07:30] Workload Identity es la forma más robusta y segura de usar cuentas de servicio

Principales puntos de datos

  • [04:10] Navegación: IAM → Mi Administración → Cuentas de servicio → Claves
  • [05:32] Rol requerido: "Administrador de Políticas de la Organización"
  • [05:54] Política a modificar: "Disable Service Account Key Creation"
  • [06:29] Tiempo de aplicación de políticas: 2-3 minutos aproximadamente
  • [09:12] Comando para activar cuenta de servicio: gcloud auth activate-service-account
  • [09:35] Comando para listar cuentas autenticadas: gcloud auth list