Autenticar cargas de trabajo mediante cuentas de servicio

En esta página, se describe cómo usar las cuentas de servicio para habilitar las apps que se ejecutan en tus instancias de máquina virtual (VM) a fin de autenticarte en las API de Google Cloud y autorizar el acceso a los recursos.

Para obtener más información sobre cómo Compute Engine usa las cuentas de servicio, consulta la descripción general de las cuentas de servicio.

Antes de comenzar

• Si deseas usar los ejemplos de línea de comandos de esta guía, haz lo siguiente:
  1. Instala Google Cloud CLI o actualízala a la última versión.
  2. Configura una región y una zona predeterminadas.
• Si deseas usar los ejemplos de API de esta guía, configura el acceso a la API.
• Lee la descripción general de las cuentas de servicio.

Crea una cuenta de servicio nueva

Puedes usar IAM para crear y configurar una cuenta de servicio nueva. Después de crear una cuenta, otórgale una o más funciones de IAM y, luego, autoriza que una instancia de máquina virtual se ejecute como esa cuenta de servicio.

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

Configura una instancia nueva para que se ejecute como una cuenta de servicio

Después de crear una cuenta de servicio nueva, puedes crear instancias de máquina virtual nuevas para ejecutarlas como cuenta de servicio. Si la cuenta de servicio está en un proyecto diferente al de las instancias, debes configurar la cuenta de servicio para un recurso en un proyecto diferente.

Si deseas asignar o cambiar una cuenta de servicio para una instancia existente, consulta Cambia la cuenta de servicio y los permisos de acceso para una instancia.

Puedes habilitar varias instancias de máquina virtual para que usen la misma cuenta de servicio, pero una instancia de máquina virtual solo puede tener una identidad de cuenta de servicio. Si asignas la misma cuenta de servicio a varias instancias de máquina virtual, cualquier cambio posterior que realices en la cuenta de servicio afectará a las instancias que la usen. Esto incluye cualquier cambio que realices en las funciones de IAM otorgadas a la cuenta de servicio. Por ejemplo, si quitas una función, todas las instancias que usen la cuenta de servicio perderán los permisos que otorga esa función.

En general, puedes establecer el permiso de acceso cloud-platform para permitir el acceso a la mayoría de las API de Cloud y, luego, otorgar a la cuenta de servicio solo funciones de IAM relevantes. La combinación de niveles de acceso otorgados a la instancia de máquina virtual y las funciones de IAM otorgadas a la cuenta de servicio determina la cantidad de acceso que tiene la cuenta de servicio para esa instancia. La cuenta de servicio puede ejecutar métodos de la API solo si están permitidos tanto por el nivel de acceso como por sus funciones de IAM.

De forma alternativa, puedes optar por configurar permisos específicos que autoricen el acceso a los métodos particulares de la API a los que llamará el servicio. Por ejemplo, para llamar al método instances.insert, se requiere autorización del alcance https://www.googleapis.com/auth/compute o del alcance https://www.googleapis.com/auth/cloud-platform combinado con una función de IAM que otorga acceso a ese método. Puedes establecer el permiso compute en lugar de cloud-platform, lo que le otorgaría al servicio acceso para llamar a métodos en Compute Engine, pero no le permite llamar a métodos de la API fuera de Compute Engine.

Puedes configurar una instancia nueva para que se ejecute como una cuenta de servicio mediante la consola de Google Cloud, Google Cloud CLI o directamente a través de la API.

gcloud compute instances create [INSTANCE_NAME] \
    --service-account [SERVICE_ACCOUNT_EMAIL] \
    --scopes [SCOPES,...]

gcloud compute instances create example-vm \
    --service-account 123-my-sa@my-project-123.iam.gserviceaccount.com \
    --scopes https://www.googleapis.com/auth/cloud-platform

gcloud compute instances create --help

gcloud compute instances create [INSTANCE_NAME] \
    --service-account [SERVICE_ACCOUNT_EMAIL] \
    --scopes cloud-platform

resource "google_compute_instance" "default" {
  name         = "my-test-vm"
  machine_type = "n1-standard-1"
  zone         = "us-central1-a"

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  // Local SSD disk
  scratch_disk {
    interface = "SCSI"
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }

  service_account {
    # Google recommends custom service accounts with `cloud-platform` scope with
    # specific permissions granted via IAM Roles.
    # This approach lets you avoid embedding secret keys or user credentials
    # in your instance, image, or app code
    email  = google_service_account.default.email
    scopes = ["cloud-platform"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances

{
  "machineType": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/machineTypes/[MACHINE_TYPE]",
  "name": "[INSTANCE_NAME]",
  "serviceAccounts": [
   {
    "email": "[SERVICE_ACCOUNT_EMAIL]",
    "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
   }
  ],
  ...
}

Después de configurar una instancia con el fin de que se ejecute como la cuenta de servicio, una aplicación que se ejecuta en la instancia puede usar uno de los siguientes métodos para la autenticación:

• Para la mayoría de las aplicaciones, elige una de las siguientes opciones:
  • Usa las credenciales predeterminadas de la aplicación y una biblioteca cliente
  • Usa los comandos gcloud y gsutil
• Para las aplicaciones que requieren un token de acceso de OAuth2, solicita y usa tokens de acceso directamente desde el servidor de metadatos.

Autentica aplicaciones mediante credenciales de cuenta de servicio

Después de configurar una instancia con el fin de que se ejecute como una cuenta de servicio, puedes usar las credenciales de la cuenta de servicio para autenticar las aplicaciones que se ejecutan en la instancia.

Autentica aplicaciones con una biblioteca cliente

Las bibliotecas cliente pueden usar las credenciales predeterminadas de la aplicación para autenticarse con las API de Google y enviar solicitudes a esas API. Las credenciales predeterminadas de la aplicación permiten que las aplicaciones obtengan de forma automática credenciales de múltiples fuentes para que puedas probar tu aplicación de forma local y, luego, implementarla en una instancia de Compute Engine sin cambiar el código de la aplicación.

Para obtener información sobre la configuración de las credenciales predeterminadas de la aplicación, consulta Proporciona credenciales para las credenciales predeterminadas de la aplicación.

En este ejemplo, se usa la biblioteca cliente de Python para autenticar y realizar una solicitud a la API de Cloud Storage con el fin de generar una lista de los depósitos en un proyecto. En el ejemplo, se usa el siguiente procedimiento:

1. Obtener las credenciales de autenticación necesarias para la API de Cloud Storage y, a continuación, inicializar el servicio de Cloud Storage con el método build() y las credenciales
2. Enumerar los depósitos en Cloud Storage

Puedes ejecutar este ejemplo en una instancia que tenga acceso para administrar depósitos en Cloud Storage.

import argparse

import googleapiclient.discovery

def create_service():
    # Construct the service object for interacting with the Cloud Storage API -
    # the 'storage' service, at version 'v1'.
    # Authentication is provided by application default credentials.
    # When running locally, these are available after running
    # `gcloud auth application-default login`. When running on Compute
    # Engine, these are available from the environment.
    return googleapiclient.discovery.build('storage', 'v1')

def list_buckets(service, project_id):
    buckets = service.buckets().list(project=project_id).execute()
    return buckets

def main(project_id):
    service = create_service()
    buckets = list_buckets(service, project_id)
    print(buckets)

if __name__ == '__main__':
    parser = argparse.ArgumentParser(
        description=__doc__,
        formatter_class=argparse.RawDescriptionHelpFormatter)
    parser.add_argument('project_id', help='Your Google Cloud Project ID.')

    args = parser.parse_args()

    main(args.project_id)

Autentica aplicaciones directamente con tokens de acceso

Para la mayoría de las aplicaciones, puedes autenticarte con las credenciales predeterminadas de la aplicación, que encuentra las credenciales y administra los tokens por ti. Sin embargo, si la aplicación requiere que proporciones un token de acceso de OAuth2, Compute Engine te permite obtener un token de acceso del servidor de metadatos para usarlo en la aplicación.

Hay varias opciones para obtener y usar estos tokens de acceso con el objetivo de autenticar tus aplicaciones. Por ejemplo, puedes usar curl con el objetivo de crear una solicitud simple o usar un lenguaje de programación, como Python, para lograr una mayor flexibilidad.

import argparse

import requests

METADATA_URL = 'http://metadata.google.internal/computeMetadata/v1/'
METADATA_HEADERS = {'Metadata-Flavor': 'Google'}
SERVICE_ACCOUNT = 'default'

def get_access_token():
    url = '{}instance/service-accounts/{}/token'.format(
        METADATA_URL, SERVICE_ACCOUNT)

    # Request an access token from the metadata server.
    r = requests.get(url, headers=METADATA_HEADERS)
    r.raise_for_status()

    # Extract the access token from the response.
    access_token = r.json()['access_token']

    return access_token

def list_buckets(project_id, access_token):
    url = 'https://www.googleapis.com/storage/v1/b'
    params = {
        'project': project_id
    }
    headers = {
        'Authorization': f'Bearer {access_token}'
    }

    r = requests.get(url, params=params, headers=headers)
    r.raise_for_status()

    return r.json()

def main(project_id):
    access_token = get_access_token()
    buckets = list_buckets(project_id, access_token)
    print(buckets)

if __name__ == '__main__':
    parser = argparse.ArgumentParser(
        description=__doc__,
        formatter_class=argparse.RawDescriptionHelpFormatter)
    parser.add_argument('project_id', help='Your Google Cloud project ID.')

    args = parser.parse_args()

    main(args.project_id)

Los tokens de acceso vencen después de un período corto. El servidor de metadatos almacena en caché los tokens de acceso hasta que queden 5 minutos de tiempo restante antes de que venzan. Puedes solicitar nuevos tokens con la frecuencia que desees, pero tus aplicaciones deben tener un token de acceso válido para que sus llamadas a la API tengan éxito.

Autentica herramientas en una instancia mediante una cuenta de servicio

Algunas aplicaciones pueden usar comandos de las herramientas gcloud y gsutil, que están configurados de forma predeterminada en la mayoría de las imágenes de Compute Engine. Estas herramientas reconocen automáticamente la cuenta de servicio de una instancia y los permisos relevantes otorgados a la cuenta de servicio. De manera específica, si otorgas las funciones correctas a la cuenta de servicio, podrás usar las herramientas de gcloud y gsutil de tus instancias sin necesidad de emplear gcloud auth login.

Este reconocimiento de cuenta de servicio se realiza automáticamente y se aplica solo a las herramientas de gcloud y gsutil que se incluyen con la instancia. Si creas herramientas nuevas o agregas herramientas personalizadas, debes autorizar tu aplicación mediante una biblioteca cliente o por intermedio de tokens de acceso directamente en tu aplicación.

Para aprovechar el reconocimiento automático de la cuenta de servicio, otorga las funciones de IAM apropiadas a esa cuenta y configura una instancia para que se ejecute como una cuenta de servicio. Por ejemplo, si otorgas la función roles/storage.objectAdmin a una cuenta de servicio, la herramienta de gsutil puede administrar y acceder automáticamente a los objetos de Cloud Storage.

Del mismo modo, si habilitas roles/compute.instanceAdmin.v1 en la cuenta de servicio, la herramienta de gcloud compute podrá administrar las instancias de forma automática.

Cambia la cuenta de servicio y los niveles de acceso para una instancia

Si deseas ejecutar la VM como una identidad diferente o determinas que la instancia necesita un conjunto diferente de alcances para llamar a las API requeridas, puedes cambiar la cuenta de servicio y los niveles de acceso de una instancia existente. Por ejemplo, puedes cambiar los permisos de acceso para otorgar acceso a una API nueva, quitar la cuenta de servicio y los permisos de acceso a fin de evitar que una VM acceda a cualquier servicio de Google Cloud, o puedes cambiar un VM para que se ejecute como una cuenta de servicio que creaste en lugar de la cuenta de servicio predeterminada de Compute Engine. Sin embargo, Google recomienda que uses las políticas de IAM detalladas en lugar de depender de los permisos de acceso para controlar el acceso a los recursos de la cuenta de servicio.

Para cambiar la cuenta de servicio de una instancia y los niveles de acceso, la instancia debe detenerse temporalmente. Con el fin de detener tu instancia, lee el documento con información sobre cómo detener una instancia. Después de cambiar la cuenta de servicio o los niveles de acceso, no olvides reiniciar la instancia. Usa uno de los siguientes métodos para cambiar la cuenta de servicio o los niveles de acceso de la instancia detenida.

gcloud compute instances set-service-account [INSTANCE_NAME] \
   [--service-account [SERVICE_ACCOUNT_EMAIL] | --no-service-account] \
   [--no-scopes | --scopes [SCOPES,...]]

gcloud compute instances set-service-account example-instance \
   --service-account my-sa-123@my-project-123.iam.gserviceaccount.com \
   --scopes compute-rw,storage-ro

https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/setServiceAccount

{
  "email": "[SERVICE_ACCOUNT_EMAIL]",
  "scopes": [
    "[SCOPE_URI]",
    "[SCOPE_URI]",
    ...
  ]
}

{
  "email": "my-sa-123@my-project-123.iam.gserviceaccount.com",
  "scopes": [
    "https://www.googleapis.com/auth/bigquery",
    "https://www.googleapis.com/auth/devstorage.read_only"
  ]
}

Obtén un correo electrónico de cuenta de servicio

Para identificar una cuenta de servicio, necesitas el correo electrónico de la cuenta de servicio. Obtén un correo electrónico de cuenta de servicio a través de una de las siguientes opciones:

gcloud compute instances describe [INSTANCE_NAME] --format json

{
      ...
      "serviceAccounts":[
         {
            "email":"123845678986-compute@developer.gserviceaccount.com",
            "scopes":[
               "https://www.googleapis.com/auth/devstorage.full_control"
            ]
         }
      ]
      ...
   }

user@myinst:~$ curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/" \
-H "Metadata-Flavor: Google"

123845678986-compute@developer.gserviceaccount.com/
default/

Usa la cuenta de servicio predeterminada de Compute Engine

Si estás familiarizado con la cuenta de servicio predeterminada de Compute Engine y deseas usar las credenciales proporcionadas por la cuenta de servicio predeterminada en lugar de crear cuentas de servicio nuevas, puedes otorgar funciones de IAM a la cuenta de servicio predeterminada.

De manera predeterminada, todas las instancias de Compute Engine pueden ejecutarse como la cuenta de servicio predeterminada. Cuando creas una instancia mediante la CLI de Google Cloud o la consola de Google Cloud y omites las especificaciones de la cuenta de servicio, la cuenta de servicio predeterminada se asigna a la instancia.

Antes de asignar roles de IAM a la cuenta de servicio predeterminada, ten en cuenta la siguiente información:

• Otorgar una función de IAM a la cuenta de servicio predeterminada afecta a todas las instancias que se ejecutan como cuenta de servicio predeterminada. Por ejemplo, si le otorgas a la cuenta de servicio predeterminada la función roles/storage.objectAdmin, todas las instancias que se ejecutan como la cuenta de servicio predeterminada con los niveles de acceso requeridos tendrán los permisos que les otorga la función roles/storage.objectAdmin. Del mismo modo, si limitas el acceso por omisión de ciertas funciones, esto afectará a todas las instancias que se ejecutan como cuenta de servicio predeterminada.

• Debes revocar el permiso de editor del proyecto para la cuenta de servicio. La cuenta de servicio predeterminada se agrega como editor de proyecto a los proyectos de manera predeterminada. Para usar las funciones de IAM, debes revocar el permiso de editor del proyecto.

Si no estás seguro de otorgar funciones de IAM a la cuenta de servicio predeterminada, crea una nueva cuenta de servicio.

Sigue estas instrucciones para otorgar una función de IAM a la cuenta de servicio predeterminada:

1. En la consola de Google Cloud, ve a la página IAM.

   Ir a IAM

2. Si se te solicita, selecciona un proyecto.

3. Busca la cuenta de servicio denominada Cuenta de servicio predeterminada de Compute Engine.

4. En la columna Funciones, expande el menú desplegable para la cuenta de servicio predeterminada de Compute Engine.

5. Quita el acceso de editor y guarda tus cambios.

6. A continuación, otorga funciones de IAM a la cuenta de servicio.

Cualquier instancia de máquina virtual que se esté ejecutando en la actualidad como cuenta de servicio predeterminada tendrá ahora acceso a otras API de Google Cloud, de acuerdo con las funciones de IAM que le otorgaste a la cuenta.

Si deseas configurar una instancia nueva para que se ejecute como cuenta de servicio predeterminada, sigue estas instrucciones:

gcloud compute instances create [INSTANCE_NAME] \
     --scopes cloud-platform

POST https://compute.googleapis.com/compute/v1/projects/zones/[ZONE]/instances

{
  "machineType": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/machineTypes/[MACHINE_TYPE]",
  "name": "[INSTANCE_NAME]",
  "serviceAccounts": [
   {
    "email": "[DEFAULT_SERVICE_ACCOUNT_EMAIL]",
    "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
   }
  ],
  ...
}

Prácticas recomendadas

• Google recomienda que cada instancia de VM que necesite llamar a una API de Google se ejecute como una cuenta de servicio con los permisos mínimos necesarios para que esa VM haga su trabajo.

• Sigue estas instrucciones a fin de configurar cuentas de servicio para las VM:

  1. Crea una cuenta de servicio nueva en lugar de usar la predeterminada de Compute Engine.
  2. Otorga funciones de IAM a esa cuenta de servicio solo para los recursos que necesita.
  3. Configura la VM para que se ejecute como la cuenta de servicio nueva que creaste.
  4. Otorga el alcance https://www.googleapis.com/auth/cloud-platform a tu VM para permitir el acceso a la mayoría de las API de Google Cloud, de modo que los permisos de IAM de la VM estén determinados por completo por las funciones de IAM que otorgaste a la cuenta de servicio de las VM. La cuenta de servicio solo puede ejecutar los métodos de la API que permitan el nivel de acceso y las funciones específicas de IAM de la cuenta de servicio.

• Limita los privilegios de las cuentas de servicio y verifica con regularidad los permisos de tu cuenta de servicio para asegurarte de que estén actualizados.

• Borra las cuentas de servicio con cuidado. Asegúrate de que tus aplicaciones importantes ya no usen la cuenta de servicio antes de borrarla. Si no estás seguro de si se está usando una cuenta de servicio, te recomendamos que inhabilites la cuenta de servicio en lugar de borrarla. Las cuentas de servicio inhabilitadas se pueden volver a habilitar si aún son necesarias.

• Mitiga los riesgos de seguridad para la cuenta de servicio. Si deseas obtener más información, consulta Prácticas recomendadas para trabajar con cuentas de servicio.

¿Qué sigue?

• Obtén más información sobre cuentas de servicio.
• Obtén más información sobre las funciones de IAM de Compute Engine.
• Obtén más información sobre las prácticas recomendadas para trabajar con cuentas de servicio.