Cuentas de servicio en Google Cloud: creación y autenticación

Clase 14 de 31Curso de Google Associate Cloud Engineer Certification

Clase anteriorSiguiente clase

Resumen

Objetivo del profesor

El objetivo de esta clase era que los estudiantes comprendieran qué son las cuentas de servicio en Google Cloud, cuándo utilizarlas y cómo implementarlas prácticamente a través de la generación y uso de llaves JSON para autenticación automática.

Habilidades desarrolladas

  • Gestión de cuentas de servicio: Crear y configurar cuentas de servicio en Google Cloud.
  • Administración de políticas organizacionales: Modificar políticas de seguridad a nivel de organización.
  • Autenticación programática: Implementar autenticación usando llaves JSON.
  • Uso de Cloud Shell: Manipular archivos y ejecutar comandos de autenticación.
  • Gestión de permisos IAM: Asignar roles específicos a cuentas de servicio.

Conceptos clave

  • Cuenta de servicio: Cuenta gestionada por Google Cloud para acceso automático de aplicaciones y servicios.
  • Llaves JSON: Método de autenticación que permite a aplicaciones actuar en nombre de una cuenta de servicio.
  • Workload Identity: Método más seguro y recomendado para autenticación (mencionado como alternativa).
  • Políticas de organización: Reglas de seguridad aplicadas a nivel organizacional.
  • Vector de ataque: Vulnerabilidades de seguridad relacionadas con el mal uso de llaves JSON.

Palabras clave importantes

  • Service Account
  • JSON Keys
  • IAM (Identity and Access Management)
  • Cloud Shell
  • Workload Identity
  • Organization Policies
  • Backend services
  • Autenticación automática
  • gcloud auth

Hechos importantes

  • [00:27] Las cuentas de servicio son como "robots" que actúan automáticamente.
  • [01:34] Las máquinas virtuales siempre actúan a nombre de cuentas de servicio.
  • [02:06] Las cuentas de servicio tienen emails únicos con formato: @[proyecto-id].iam.gserviceaccount.com
  • [02:41] Las cuentas de servicio no tienen autenticación de doble factor, lo que las convierte en vectores de ataque potenciales.
  • [04:22] Por defecto, las organizaciones nuevas tienen políticas que impiden crear llaves JSON.
  • [07:09] Muchas compañías han filtrado llaves JSON en repositorios GitHub públicos.
  • [07:32] Google recomienda Workload Identity sobre llaves JSON por seguridad.
  • [08:21] Cualquier persona con acceso a una llave JSON puede usar los permisos de la cuenta de servicio.

Principales puntos de datos

  • [04:09] Tipos de llaves disponibles: JSON y P12 (JSON es el más utilizado).
  • [05:32] Rol requerido: "Administrador de Políticas de la Organización".
  • [05:54] Política a deshabilitar: "Disable Service Account Key Creation".
  • [06:29] Tiempo de aplicación de políticas: 2-3 minutos aproximadamente.
  • [09:06] Comando para activar cuenta de servicio: gcloud auth activate-service-account --key-file=key2.json
  • [09:27] Comando para listar cuentas autenticadas: gcloud auth list