En esta guía, se explica cómo configurar la autenticación y la autorización para las aplicaciones de producción de servidor a servidor en las API de Google Cloud. La autenticación hace referencia al proceso de determinar la identidad de un cliente. La autorización hace referencia al proceso de determinar los permisos que un cliente autenticado tiene para un recurso específico. Es decir, la autenticación identifica quién eres y la autorización determina lo que puedes hacer. Para obtener más información sobre los métodos de autenticación compatibles y cómo elegirlos, consulta Descripción general de la autenticación.
Google usa credenciales para identificar las cuotas y la facturación de tus aplicaciones. Tus credenciales también se usan para autorizar el acceso a las API, los recursos y las funciones de Google Cloud.
Proporciona credenciales para tu aplicación
Encuentra credenciales automáticamente
Las bibliotecas cliente de Google Cloud usan una estrategia llamada credenciales predeterminadas de la aplicación (ADC) para encontrar las credenciales. Si tu código usa una biblioteca cliente, la estrategia comprueba las credenciales en el siguiente orden:
Primero, ADC comprueba si se configuró la variable
GOOGLE_APPLICATION_CREDENTIALSdel entorno. Si está configurada, ADC usa el archivo de cuenta de servicio al que apunta la variable. En la siguiente sección se describe cómo configurar la variable de entorno.Si no se configuró la variable de entorno, ADC usa la cuenta de servicio predeterminada que Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine y Cloud Functions proporcionan para las aplicaciones que se ejecutan en esos servicios.
Se mostrará un error si ADC no puede usar ninguna de las credenciales ya mencionadas.
Esta estrategia se describe en el siguiente ejemplo de código, pero no se especifican las credenciales de la aplicación de forma explícita. Sin embargo, ADC puede encontrar las credenciales implícitamente solo si configuraste la variable de entorno GOOGLE_APPLICATION_CREDENTIALS o si la aplicación se ejecuta en Compute Engine, GKE, App Engine o Cloud Functions.
Instala la biblioteca cliente de Cloud Storage para ejecutar el siguiente ejemplo.
C#
Go
Java
Node.js
PHP
Python
Ruby
Esta estrategia es útil cuando se ejecutan pruebas y experimentos, pero puede dificultar saber qué credenciales está usando tu aplicación. Recomendamos especificar de forma explícita qué credenciales debe usar la aplicación, como se describe en la siguiente sección.
Obtén y proporciona las credenciales de la cuenta de servicio de forma manual
Si desarrollas código de manera local y, además, implementas tu aplicación de manera local o en otra nube pública, puedes crear y obtener las credenciales de la cuenta de servicio de forma manual.
Crea una cuenta de servicio
Mediante los siguientes pasos se describe cómo crear una cuenta de servicio. Sin embargo, en lugar de configurar permisos en el nivel del propietario, debes restringir el acceso a los permisos, tal como se describe en la sección sobre restricción del acceso que se muestra a continuación.
Cloud Console
-
En Cloud Console, ve a la página Crear clave de la cuenta de servicio.
Ir a la página Crear clave de la cuenta de servicio - En la lista Cuenta de servicio, selecciona Cuenta de servicio nueva.
- Ingresa un nombre en el campo Nombre de cuenta de servicio.
En la lista Función, selecciona Proyecto > Propietario.
Nota: El campo Función autoriza tu cuenta de servicio para acceder a los recursos. Puedes ver y cambiar este campo más adelante con Cloud Console. Si desarrollas una app de producción, especifica permisos más detallados que Proyecto > Propietario. Para obtener más información, consulta Cómo otorgar funciones a las cuentas de servicio.- Haz clic en Crear. Se descargará un archivo JSON a tu computadora que contiene tus descargas de claves.
Línea de comandos
Puedes ejecutar los siguientes comandos con el SDK de Cloud en tu máquina local o en Cloud Shell.
-
Crea la cuenta de servicio. Reemplaza [NOMBRE] por un nombre para la cuenta de servicio.
gcloud iam service-accounts create [NAME]
-
Otorga permisos a la cuenta de servicio. Reemplaza [PROJECT_ID] por el ID del proyecto.
gcloud projects add-iam-policy-binding [PROJECT_ID] --member "serviceAccount:[NAME]@[PROJECT_ID].iam.gserviceaccount.com" --role "roles/owner"
Nota: El campo Función autoriza a tu cuenta de servicio para acceder a los recursos. Puedes ver y cambiar este campo más adelante con Cloud Console. Si desarrollas una app de producción, especifica permisos más detallados que Proyecto > Propietario. Para obtener más información, consulta Cómo otorgar funciones a las cuentas de servicio. -
Genera el archivo de claves. Reemplaza [FILE_NAME] por un nombre para el archivo de claves.
gcloud iam service-accounts keys create [FILE_NAME].json --iam-account [NAME]@[PROJECT_ID].iam.gserviceaccount.com
Proporciona las credenciales de la cuenta de servicio
Tienes dos opciones para proporcionar las credenciales a tu aplicación después de crear una cuenta de servicio. Puedes configurar la variable de entorno GOOGLE_APPLICATION_CREDENTIALS explícitamente o pasar la ruta a la clave de la cuenta de servicio en código.
Configura la variable de entorno
Proporciona credenciales de autenticación a tu código de la aplicación configurando la variable de entorno GOOGLE_APPLICATION_CREDENTIALS. Reemplaza [PATH] con la ruta de acceso al archivo JSON que contiene la clave de tu cuenta de servicio y [FILE_NAME] con el nombre del archivo. Esta variable solo se aplica a la sesión actual de shell. Por lo tanto, si abres una sesión nueva, deberás volver a configurar la variable.
Linux o macOS
export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"
Por ejemplo:
export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/[FILE_NAME].json"
Windows
Con PowerShell:
$env:GOOGLE_APPLICATION_CREDENTIALS="[PATH]"
Por ejemplo:
$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\[FILE_NAME].json"
Con el símbolo del sistema:
set GOOGLE_APPLICATION_CREDENTIALS=[PATH]
Cuando completes los pasos anteriores, ADC podrá determinar las credenciales de forma implícita, tal como se describió en la sección anterior sobre cómo proporcionar credenciales a la aplicación. Recomendamos usar este método, porque requiere menos código. Además, cuando usas la variable de entorno, tu código es más portátil, ya que puedes ejecutar el mismo código en múltiples entornos con diferentes cuentas de servicio.
Pasa la ruta a la clave de la cuenta de servicio en el código
También puedes usar el código para apuntar de forma explícita hacia el archivo de la cuenta de servicio, como se muestra en el siguiente ejemplo de código.
Instala la biblioteca cliente de Cloud Storage para ejecutar el siguiente ejemplo.
C#
Go
Java
Node.js
PHP
Python
Ruby
Obtén credenciales en Compute Engine, Kubernetes Engine, el entorno flexible de App Engine y Cloud Functions
Si tu aplicación se ejecuta en Compute Engine, GKE, el entorno flexible de App Engine o Cloud Functions, no es necesario que crees tu propia cuenta de servicio. Compute Engine incluye una cuenta de servicio predeterminada que se crea automáticamente y puedes asignar una cuenta de servicio diferente a instancia, si es necesario. Cuando creas una nueva instancia, esta se habilita automáticamente para que se ejecute como la cuenta de servicio predeterminada y tiene un conjunto predeterminado de permisos de autorización. Para obtener más información, consulta Cuenta de servicio predeterminada de Compute Engine.
Después de configurar una cuenta de servicio, ADC encuentra las credenciales de forma implícita sin necesidad de cambiar el código, tal como se describió en la sección anterior. Si quieres especificar que se usen credenciales de Compute Engine, puedes hacerlo de forma explícita tal como se muestra en el siguiente código de ejemplo.
Instala la biblioteca cliente de Cloud Storage para ejecutar el siguiente ejemplo.
C#
Go
Java
Node.js
PHP
Python
Ruby
Obtén credenciales en el entorno estándar de App Engine
Puedes usar la API de App Identity de App Engine para obtener credenciales si tu aplicación se ejecuta en el entorno estándar de App Engine.
Después de configurar una cuenta de servicio, ADC encuentra las credenciales de forma implícita sin necesidad de cambiar el código, tal como se describió en la sección anterior. Si quieres especificar que se usen credenciales de App Engine, puedes hacerlo de forma explícita tal como se muestra en el siguiente código de ejemplo.
Instala la biblioteca cliente de Cloud Storage para ejecutar el siguiente ejemplo.
PHP
Go
Java
Python
Restringe el acceso
Solo debes conceder a tu aplicación los permisos de autorización que necesita para interactuar con las API, las funciones o los recursos correspondientes de Google Cloud.
Google Cloud usa Cloud Identity and Access Management (Cloud IAM) para el control de acceso.
Para limitar los accesos cuando creas una cuenta de servicio, puedes usar las funciones de Cloud IAM. Cuando creas una cuenta de servicio, la explicación que aparece en Comienza a usar la autenticación indica que debes elegir la función Owner. El valor se puede cambiar en cualquier momento. Para obtener más información, consulta asignar funciones en las cuentas de servicio.
Recomendaciones para administrar las credenciales
Las credenciales permiten acceder a datos sensibles. Con las siguientes prácticas podrás proteger el acceso a estos recursos.
No incorpores secretos relacionados con la autenticación en el código fuente, como claves de API, tokens de OAuth y credenciales de cuentas de servicio. Puedes usar una variable de entorno que apunte hacia las credenciales externas al código fuente de la aplicación, como Cloud Key Management Service.
Usa credenciales distintas para contextos diferentes, como en entornos de pruebas y de producción.
Solo transfiere las credenciales mediante HTTPS para evitar que las puedan intervenir terceros. Nunca las transfieras en texto claro o como parte de una URL.
Nunca incorpores credenciales de larga duración en la aplicación del cliente. Por ejemplo, no incorpores credenciales de cuenta de servicio en una aplicación para dispositivos móviles. Las aplicaciones del cliente se pueden examinar y un tercero puede encontrar y usar fácilmente las credenciales.
Revoca los token que ya no necesites.
Solución de problemas de API
Revisa la sección sobre errores de las API de Cloud para obtener más información sobre cómo solucionar problemas con las solicitudes a la API.
Qué sigue
- Obtén información sobre cómo comenzar a usar la autenticación
- Obtén información sobre cómo configurar la autenticación como usuario final
- Obtén información sobre cómo usar las claves de API