Controlar el acceso a un trabajo con una cuenta de servicio personalizada

En este documento, se explica cómo especificar una cuenta de servicio de un trabajo por lotes, lo que influye en los recursos y aplicaciones a los que pueden acceder las VM de un trabajo. Si no especificas una cuenta de servicio personalizada, la configuración predeterminada de los trabajos usa la cuenta de servicio predeterminada de Compute Engine, que se conecta automáticamente a todas las VM de un proyecto de forma predeterminada. Por lo tanto, usar una cuenta de servicio personalizada proporciona un mayor control en la administración de los permisos de un trabajo y es una práctica recomendada para limitar privilegio.

Obtén más información sobre la cuenta de servicio de un trabajo.

Antes de comenzar

Si nunca usaste Batch, revisa Comienza a usar Batch y completa los requisitos previos para proyectos y usuarios a fin de habilitar Batch.
A fin de obtener los permisos que necesitas para controlar el acceso a los trabajos con cuentas de servicio personalizadas, pídele a tu administrador que te otorgue los siguientes roles de IAM:
- Para crear un trabajo, sigue estos pasos:
  - Editor de trabajos por lotes (roles/batch.jobsEditor) en el proyecto
  - Usuario de cuenta de servicio (roles/iam.serviceAccountUser) en la cuenta de servicio del trabajo, que de forma predeterminada es la cuenta de servicio predeterminada de Compute Engine
- Para ver las cuentas de servicio, haz lo siguiente: Visualiza las cuentas de servicio (roles/iam.serviceAccountViewer) en el proyecto.
Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios mediante funciones personalizadas, o bien otras funciones predefinidas.
Identifica la cuenta de servicio que deseas usar para este trabajo. Asegúrate de que esta cuenta de servicio tenga todos los permisos necesarios para ejecutar tu trabajo.

Obtén más información sobre cómo ver las cuentas de servicio y los permisos necesarios para la cuenta de servicio de un trabajo.

Crea un trabajo que use una cuenta de servicio personalizada

Para crear un trabajo que use una cuenta de servicio personalizada, selecciona uno de los siguientes métodos:

Especifica la cuenta de servicio personalizada en la definición de tu trabajo, como se muestra en esta sección.
Usa una plantilla de instancias de Compute Engine y especifica la cuenta de servicio personalizada en tu plantilla de instancias y en la definición de tu trabajo.

En esta sección, se proporciona un ejemplo de cómo crear un trabajo que usa una cuenta de servicio personalizada. Puedes crear un trabajo que use una cuenta de servicio personalizada con gcloud CLI o la API de Batch.

gcloud

Para crear un trabajo que use una cuenta de servicio personalizada con gcloud CLI, usa el comando gcloud batch jobs submit y especifica la cuenta de servicio personalizada en el archivo de configuración del trabajo.

Por ejemplo, para crear un trabajo de secuencia de comandos que use una cuenta de servicio personalizada, sigue estos pasos:

Crea un archivo JSON en el directorio actual llamado hello-world-service-account.json con el siguiente contenido:

{
    "taskGroups": [
        {
            "taskSpec": {
                "runnables": [
                    {
                        "script": {
                            "text": "echo Hello World! This is task $BATCH_TASK_INDEX."
                        }
                    }
                ]
            }
        }
    ],
    "allocationPolicy": {
        "serviceAccount": {
            "email": "SERVICE_ACCOUNT_EMAIL"
        }
    }
}

En el ejemplo anterior, SERVICE_ACCOUNT_EMAIL es la dirección de correo electrónico de la cuenta de servicio. Si no se especifica el campo serviceAccount, el valor se establece en la cuenta de servicio predeterminada de Compute Engine.

Ejecuta el siguiente comando:

gcloud batch jobs submit example-service-account-job \
  --location us-central1 \
  --config hello-world-service-account.json

API

Para crear un trabajo que use una cuenta de servicio personalizada con la API de Batch, usa el método jobs.create y especifica la cuenta de servicio personalizada en el campo allocationPolicy.

Por ejemplo, para crear un trabajo de secuencia de comandos que use una cuenta de servicio personalizada, realiza la siguiente solicitud:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/jobs?job_id=example-service-account-job

{
    "taskGroups": [
        {
            "taskSpec": {
                "runnables": [
                    {
                        "script": {
                            "text": "echo Hello World! This is task $BATCH_TASK_INDEX."
                        }
                    }
                ]
            }
        }
    ],
    "allocationPolicy": {
        "serviceAccount": {
            "email": "SERVICE_ACCOUNT_EMAIL"
        }
    }
}

Reemplaza lo siguiente:

PROJECT_ID: Es el ID del proyecto.
SERVICE_ACCOUNT_EMAIL: Es la dirección de correo electrónico de la cuenta de servicio. Si no se especifica el campo serviceAccount, el valor se establece en la cuenta de servicio predeterminada de Compute Engine.

¿Qué sigue?

Si tienes problemas para crear o ejecutar un trabajo, consulta Solución de problemas.
Consulta trabajos y tareas.
Obtén más información sobre las opciones de creación de trabajos.