Comienza a usar la autenticación

En este tema, se muestra cómo autenticar con rapidez en una API de Google Cloud para realizar pruebas. No se muestra cómo autenticar en API que no son de Google Cloud, como las API de Google Maps Platform. Si deseas obtener información sobre las claves de API para las API y los SDK de Google Maps Platform, consulta la documentación de Google Maps.

Antes de continuar, recomendamos que todos los desarrolladores de Google Cloud lean primero el tema Descripción general de la autenticación para comprender cómo funciona la autenticación en Google Cloud, incluidas las estrategias y situaciones comunes. Además, antes de implementar una aplicación en un entorno de producción, asegúrate de leer Autentícate como cuenta de servicio.

Nota: Si la aplicación se ejecuta de forma local o en otro proveedor de servicios en la nube, puedes usar la federación de Workload Identity para otorgar acceso a las identidades externas sin usar una clave de cuenta de servicio. Algunas bibliotecas cliente pueden usar las credenciales predeterminadas de la aplicación (ADC) a fin de generar credenciales para las identidades externas de forma automática.

Para obtener más información, consulta la documentación de tu proveedor de identidad:

Crea una cuenta de servicio

Cloud Console

Crea una cuenta de servicio:

En Cloud Console, ve a la página Crear cuenta de servicio.
Ir a Crear cuenta de servicio
Selecciona un proyecto
Ingresa un nombre en el campo Nombre de cuenta de servicio. Cloud Console completa el campo ID de cuenta de servicio con base en este nombre.

Opcional: en el campo Descripción de la cuenta de servicio, ingresa una descripción. Por ejemplo, Service account for quickstart.
Haz clic en Crear y continuar.
Haz clic en el campo Seleccionar una función.

En Acceso rápido, haz clic en Básica y, luego, en Propietario.

Nota: El campo Función afecta a qué recursos puede acceder tu cuenta de servicio en el proyecto. Puedes revocar estas funciones o asignar otras más adelante. En entornos de producción, no otorgues las funciones de propietario, editor o visualizador. Para obtener más información, consulta Otorga, cambia y revoca el acceso a los recursos.
Haga clic en Continuar.
Haz clic en Listo para terminar de crear la cuenta de servicio.

No cierres la ventana del navegador. La usarás en la próxima tarea.

Para crear una clave de cuenta de servicio, haz lo siguiente:

En Cloud Console, haz clic en la dirección de correo electrónico de la cuenta de servicio que creaste.
Haga clic en Claves.
Haz clic en Agregar clave, luego haz clic en Crear clave nueva.
Haga clic en Crear. Se descargará un archivo de claves JSON en tu computadora.
Haga clic en Cerrar.

Línea de comandos

Puedes ejecutar los siguientes comandos con el SDK de Cloud en tu máquina local o en Cloud Shell.

Crea la cuenta de servicio. Reemplaza NAME por un nombre para la cuenta de servicio.
```
gcloud iam service-accounts create NAME
```
Otorga permisos a la cuenta de servicio. Reemplaza PROJECT_ID por el ID del proyecto.
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:NAME@PROJECT_ID.iam.gserviceaccount.com" --role="roles/owner"
```
Nota: La marca --role afecta a qué recursos puede acceder tu cuenta de servicio en el proyecto. Puedes revocar estas funciones o asignar más funciones posteriormente. En entornos de producción, no otorgues las funciones de propietario, editor o visualizador. Para obtener más información, consulta la sección sobre cómo otorgar, cambiar y revocar el acceso a los recursos.

Genera el archivo de claves. Reemplaza FILE_NAME por un nombre para el archivo de claves.

gcloud iam service-accounts keys create FILE_NAME.json --iam-account=NAME@PROJECT_ID.iam.gserviceaccount.com

Configura la variable de entorno

Para utilizar cuentas de servicio con el SDK de Cloud, debes configurar una variable de entorno en la que se ejecute tu código.

Configura la variable de entorno GOOGLE_APPLICATION_CREDENTIALS para proporcionar credenciales de autenticación al código de la aplicación. Esta variable solo se aplica a la sesión actual de shell. Por lo tanto, si abres una sesión nueva, deberás volver a configurar la variable.

Linux o macOS

export GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Reemplaza KEY_PATH por la ruta de acceso del archivo JSON que contiene la clave de tu cuenta de servicio.

Por ejemplo:

export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"

Windows

Para PowerShell:

$env:GOOGLE_APPLICATION_CREDENTIALS="KEY_PATH"

Reemplaza KEY_PATH por la ruta de acceso del archivo JSON que contiene la clave de tu cuenta de servicio.

Por ejemplo:

$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"

Para el símbolo del sistema:

set GOOGLE_APPLICATION_CREDENTIALS=KEY_PATH

Reemplaza KEY_PATH por la ruta de acceso del archivo JSON que contiene la clave de tu cuenta de servicio.

Si configuras la variable de entorno, podrás proporcionar credenciales separadas de tu aplicación sin tener que cambiar el código cuando implementas. Otra alternativa es especificar de manera explícita la ruta hacia archivo de claves de la cuenta de servicio en el código. Para obtener más información, consulta Autentícate como cuenta de servicio.

Verifica la autenticación

Después de configurar la variable de entorno, no es necesario que especifiques las credenciales en el código de forma explícita cuando usas una biblioteca cliente de Google Cloud. La biblioteca cliente determinará tus credenciales de forma implícita. Por este motivo, puedes configurar la variable de entorno y, luego, ejecutar el código de la biblioteca cliente para comprobar que la autenticación funcione, como se indica en el siguiente ejemplo. Si la solicitud se realiza de manera exitosa, la autenticación funciona.

C#

Ver en GitHub

public object AuthImplicit(string projectId)
{
    // If you don't specify credentials when constructing the client, the
    // client library will look for credentials in the environment.
    var credential = GoogleCredential.GetApplicationDefault();
    var storage = StorageClient.Create(credential);
    // Make an authenticated API request.
    var buckets = storage.ListBuckets(projectId);
    foreach (var bucket in buckets)
    {
        Console.WriteLine(bucket.Name);
    }
    return null;
}

Go

Ver en GitHub


// implicit uses Application Default Credentials to authenticate.
func implicit() {
	ctx := context.Background()

	// For API packages whose import path is starting with "cloud.google.com/go",
	// such as cloud.google.com/go/storage in this case, if there are no credentials
	// provided, the client library will look for credentials in the environment.
	storageClient, err := storage.NewClient(ctx)
	if err != nil {
		log.Fatal(err)
	}
	defer storageClient.Close()

	it := storageClient.Buckets(ctx, "project-id")
	for {
		bucketAttrs, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			log.Fatal(err)
		}
		fmt.Println(bucketAttrs.Name)
	}

	// For packages whose import path is starting with "google.golang.org/api",
	// such as google.golang.org/api/cloudkms/v1, use NewService to create the client.
	kmsService, err := cloudkms.NewService(ctx)
	if err != nil {
		log.Fatal(err)
	}

	_ = kmsService
}

Java

Ver en GitHub

static void authImplicit() {
  // If you don't specify credentials when constructing the client, the client library will
  // look for credentials via the environment variable GOOGLE_APPLICATION_CREDENTIALS.
  Storage storage = StorageOptions.getDefaultInstance().getService();

  System.out.println("Buckets:");
  Page<Bucket> buckets = storage.list();
  for (Bucket bucket : buckets.iterateAll()) {
    System.out.println(bucket.toString());
  }
}

Node.js

Ver en GitHub

// Imports the Google Cloud client library.
const {Storage} = require('@google-cloud/storage');

// Instantiates a client. If you don't specify credentials when constructing
// the client, the client library will look for credentials in the
// environment.
const storage = new Storage();
// Makes an authenticated API request.
async function listBuckets() {
  try {
    const results = await storage.getBuckets();

    const [buckets] = results;

    console.log('Buckets:');
    buckets.forEach(bucket => {
      console.log(bucket.name);
    });
  } catch (err) {
    console.error('ERROR:', err);
  }
}
listBuckets();

PHP

Ver en GitHub

// Imports the Cloud Storage client library.
use Google\Cloud\Storage\StorageClient;

/**
 * Authenticate to a cloud client library using a service account implicitly.
 *
 * @param string $projectId The Google project ID.
 */
function auth_cloud_implicit($projectId)
{
    $config = [
        'projectId' => $projectId,
    ];

    # If you don't specify credentials when constructing the client, the
    # client library will look for credentials in the environment.
    $storage = new StorageClient($config);

    # Make an authenticated API request (listing storage buckets)
    foreach ($storage->buckets() as $bucket) {
        printf('Bucket: %s' . PHP_EOL, $bucket->name());
    }
}

Python

Ver en GitHub

def implicit():
    from google.cloud import storage

    # If you don't specify credentials when constructing the client, the
    # client library will look for credentials in the environment.
    storage_client = storage.Client()

    # Make an authenticated API request
    buckets = list(storage_client.list_buckets())
    print(buckets)

Ruby

Ver en GitHub

# project_id = "Your Google Cloud project ID"

require "google/cloud/storage"

# If you don't specify credentials when constructing the client, the client
# library will look for credentials in the environment.
storage = Google::Cloud::Storage.new project: project_id

# Make an authenticated API request
storage.buckets.each do |bucket|
  puts bucket.name
end

¿Qué sigue?

Obtén información sobre cómo autenticar en una API de Google Cloud.
Obtén información sobre la autenticación como usuario final.
Obtén información sobre la autenticación como cuenta de servicio.
Obtén información para usar las claves de API.

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis