En esta guía se explica cómo configurar la autenticación y autorización en las aplicaciones de producción de servidor a servidor. La autenticación hace referencia al proceso de determinar la identidad de un cliente. La autorización hace referencia al proceso de determinar los permisos que un cliente autenticado tiene para un recurso específico. Es decir, la autenticación identifica quién eres y la autorización determina lo que puedes hacer. Para obtener más información sobre los métodos de autenticación compatibles y cómo elegirlos, consulta la Descripción general de la autenticación.
Google usa credenciales para identificar las cuotas y la facturación de tus aplicaciones. Las credenciales también se usan para autorizar el acceso a las API, los recursos y las funciones de GCP.
Proporciona credenciales para tu aplicación
Encuentra credenciales automáticamente
Las bibliotecas cliente de GCP usan una estrategia llamada credenciales predeterminadas de la aplicación (ADC) para encontrar las credenciales. Si tu código usa una biblioteca cliente, la estrategia comprueba las credenciales en el siguiente orden:
Primero, ADC comprueba si se configuró la variable
GOOGLE_APPLICATION_CREDENTIALSdel entorno. Si está configurada, ADC usa el archivo de cuenta de servicio al que apunta la variable. En la siguiente sección se describe cómo configurar la variable de entorno.Si no se configuró la variable de entorno, ADC usa la cuenta de servicio predeterminada que proporciona Compute Engine, Kubernetes Engine, Cloud Run, App Engine y Cloud Functions para las aplicaciones que se ejecutan en esos servicios.
Se mostrará un error si ADC no puede usar ninguna de las credenciales ya mencionadas.
Esta estrategia se describe en el siguiente ejemplo de código, pero no se especifican las credenciales de la aplicación de forma explícita. Sin embargo, ADC puede encontrar las credenciales implícitamente solo si configuraste la variable de entorno GOOGLE_APPLICATION_CREDENTIALS o si la aplicación se ejecuta en Compute Engine, Kubernetes Engine, App Engine o Cloud Functions.
Instala la biblioteca cliente de Cloud Storage para ejecutar el siguiente ejemplo.
C#
Go
Java
Node.js
PHP
Python
Ruby
Esta estrategia es útil cuando se ejecutan pruebas y experimentos, pero puede dificultar saber qué credenciales está usando tu aplicación. Recomendamos especificar de forma explícita qué credenciales debe usar la aplicación, como se describe en la siguiente sección.
Obtén y proporciona las credenciales de la cuenta de servicio de forma manual
Si desarrollas código de manera local, implementas tu aplicación de manera local o en otra nube pública, puedes crear y obtener las credenciales de la cuenta de servicio de forma manual.
Crea una cuenta de servicio
Mediante los siguientes pasos se describe cómo crear una cuenta de servicio. Sin embargo, en lugar de configurar permisos en el nivel del propietario, debes restringir el acceso a los permisos, tal como se describe en la sección sobre restricción del acceso que se muestra a continuación.
Proporciona las credenciales de la cuenta de servicio
Tienes dos opciones para proporcionar las credenciales a tu aplicación después de crear una cuenta de servicio. Puedes configurar la variable de entorno GOOGLE_APPLICATION_CREDENTIALS explícitamente o pasar la ruta a la clave de la cuenta de servicio en código.
Configura la variable del entorno
Proporciona credenciales de autenticación a tu código de la aplicación configurando la variable de entorno GOOGLE_APPLICATION_CREDENTIALS. Reemplaza [PATH] con la ruta de acceso al archivo JSON que contiene la clave de tu cuenta de servicio y [FILE_NAME] con el nombre del archivo. Esta variable solo se aplica a la sesión actual de shell. Por lo tanto, si abres una sesión nueva, deberás volver a configurar la variable.
Linux o macOS
export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"
Por ejemplo:
export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/[FILE_NAME].json"
Windows
Con PowerShell:
$env:GOOGLE_APPLICATION_CREDENTIALS="[PATH]"
Por ejemplo:
$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\[FILE_NAME].json"
Con el símbolo del sistema:
set GOOGLE_APPLICATION_CREDENTIALS=[PATH]
Cuando completes los pasos anteriores, ADC podrá determinar las credenciales de forma implícita, tal como se describió en la sección anterior sobre cómo proporcionar credenciales a la aplicación. Recomendamos usar este método, porque requiere menos código. Además, cuando usas la variable de entorno, tu código es más portátil, ya que puedes ejecutar el mismo código en múltiples entornos con diferentes cuentas de servicio.
Pasa la ruta hacia la clave de la cuenta de servicio en el código
También puedes usar el código para apuntar de forma explícita hacia el archivo de la cuenta de servicio, como se muestra en el siguiente ejemplo de código.
Instala la biblioteca cliente de Cloud Storage para ejecutar el siguiente ejemplo.
C#
Go
Java
Node.js
PHP
Python
Ruby
Obtén credenciales en Compute Engine, Kubernetes Engine, el entorno flexible de App Engine y Cloud Functions
Si tu aplicación se ejecuta en Compute Engine, Kubernetes Engine, el entorno flexible de App Engine o Cloud Functions, no es necesario que crees tu propia cuenta de servicio. Compute Engine incluye una cuenta de servicio predeterminada que se crea automáticamente y puedes asignar una cuenta de servicio diferente para cada instancia, si es necesario. Cuando creas una instancia nueva, esta se habilita automáticamente para que se ejecute como la cuenta de servicio predeterminada y tiene un conjunto predeterminado de permisos de autorización. Para obtener más información, consulta Cuenta de servicio predeterminada de Compute Engine.
Después de configurar una cuenta de servicio, ADC ubica las credenciales de forma implícita sin necesidad de cambiar el código, tal como se describió en la sección anterior. Si quieres especificar que se usen credenciales de Compute Engine, puedes hacerlo de forma explícita tal como se muestra en el siguiente ejemplo de código.
Instala la biblioteca cliente de Cloud Storage para ejecutar el siguiente ejemplo.
C#
Go
Java
Node.js
PHP
Python
Ruby
Obtén credenciales en el entorno estándar de App Engine
Puedes usar la API de App Identity de App Engine para obtener credenciales si tu aplicación se ejecuta en el entorno estándar de App Engine.
Después de configurar una cuenta de servicio, ADC ubica las credenciales de forma implícita sin necesidad de cambiar el código, tal como se describió en la sección anterior. Si quieres especificar que se usen credenciales de App Engine, puedes hacerlo de forma explícita tal como se muestra en el siguiente ejemplo de código.
Instala la biblioteca cliente de Cloud Storage para ejecutar el siguiente ejemplo.
PHP
Go
Java
Python
Restricción de acceso
Solo debes conceder a tu aplicación los permisos de autorización que necesita para interactuar con las API, las funciones o los recursos aplicables de GCP. GCP usa Cloud Identity and Access Management (Cloud IAM) para controlar los accesos. Para limitar los accesos cuando creas una cuenta de servicio, puedes usar las funciones de Cloud IAM. Cuando creas una cuenta de servicio, la explicación que aparece en comenzar con la autenticación indica que debes elegir la función Owner. El valor se puede cambiar en cualquier momento. Para obtener más información, consulta asignar funciones en las cuentas de servicio.
Recomendaciones para administrar las credenciales
Las credenciales permiten acceder a datos sensibles. Con las siguientes prácticas podrás proteger el acceso a estos recursos.
No incorpores secretos relacionados con la autenticación en el código fuente, como claves de API, tokens de OAuth y credenciales de cuentas de servicio. Puedes usar una variable de entorno que apunte hacia las credenciales externas al código fuente de la aplicación, como Cloud Key Management Service.
Usa credenciales distintas para contextos diferentes, como en entornos de pruebas y de producción.
Solo transfiere las credenciales mediante HTTPS para evitar que las puedan intervenir terceros. Nunca las transfieras en texto claro o como parte de una URL.
Nunca incorpores credenciales de larga duración en la aplicación del cliente. Por ejemplo, no incorpores credenciales de cuenta de servicio en una aplicación para dispositivos móviles. Las aplicaciones del cliente se pueden examinar y un tercero puede encontrar y usar fácilmente las credenciales.
Revoca los token que ya no necesites.
Soluciona errores de la API
Revisa la sección sobre errores de las API de Cloud para obtener más información sobre cómo solucionar problemas con las solicitudes a la API.
Próximos pasos
Obtén información sobre cómo comenzar a usar la autenticación
Obtén información sobre cómo configurar la autenticación como usuario final
Obtén información sobre cómo usar las claves de API