Resumen

Objetivo del profesor

El objetivo de esta clase era que los estudiantes comprendieran qué son las cuentas de servicio en Google Cloud, cuándo utilizarlas y cómo implementarlas prácticamente a través de la generación y uso de llaves JSON para autenticación automática.

Habilidades desarrolladas

  • Gestión de cuentas de servicio: Crear y configurar cuentas de servicio en Google Cloud.
  • Administración de políticas organizacionales: Modificar políticas de seguridad a nivel de organización.
  • Autenticación programática: Implementar autenticación usando llaves JSON.
  • Uso de Cloud Shell: Manipular archivos y ejecutar comandos de autenticación.
  • Gestión de permisos IAM: Asignar roles específicos a cuentas de servicio.

Conceptos clave

  • Cuenta de servicio: Cuenta gestionada por Google Cloud para acceso automático de aplicaciones y servicios.
  • Llaves JSON: Método de autenticación que permite a aplicaciones actuar en nombre de una cuenta de servicio.
  • Workload Identity: Método más seguro y recomendado para autenticación (mencionado como alternativa).
  • Políticas de organización: Reglas de seguridad aplicadas a nivel organizacional.
  • Vector de ataque: Vulnerabilidades de seguridad relacionadas con el mal uso de llaves JSON.

Palabras clave importantes

  • Service Account
  • JSON Keys
  • IAM (Identity and Access Management)
  • Cloud Shell
  • Workload Identity
  • Organization Policies
  • Backend services
  • Autenticación automática
  • gcloud auth

Hechos importantes

  • [00:27] Las cuentas de servicio son como "robots" que actúan automáticamente.
  • [01:34] Las máquinas virtuales siempre actúan a nombre de cuentas de servicio.
  • [02:06] Las cuentas de servicio tienen emails únicos con formato: @[proyecto-id].iam.gserviceaccount.com
  • [02:41] Las cuentas de servicio no tienen autenticación de doble factor, lo que las convierte en vectores de ataque potenciales.
  • [04:22] Por defecto, las organizaciones nuevas tienen políticas que impiden crear llaves JSON.
  • [07:09] Muchas compañías han filtrado llaves JSON en repositorios GitHub públicos.
  • [07:32] Google recomienda Workload Identity sobre llaves JSON por seguridad.
  • [08:21] Cualquier persona con acceso a una llave JSON puede usar los permisos de la cuenta de servicio.

Principales puntos de datos

  • [04:09] Tipos de llaves disponibles: JSON y P12 (JSON es el más utilizado).
  • [05:32] Rol requerido: "Administrador de Políticas de la Organización".
  • [05:54] Política a deshabilitar: "Disable Service Account Key Creation".
  • [06:29] Tiempo de aplicación de políticas: 2-3 minutos aproximadamente.
  • [09:06] Comando para activar cuenta de servicio: gcloud auth activate-service-account --key-file=key2.json
  • [09:27] Comando para listar cuentas autenticadas: gcloud auth list