Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configura la administración del ciclo de vida para las cargas de trabajo administradas

En este documento, se muestra cómo configurar la administración del ciclo de vida de los certificados para cargas de trabajo administradas, como Compute Engine y Google Kubernetes Engine (GKE), con Administrador de certificados (2ª gen.). Puedes automatizar la emisión y renovación de certificados vinculando un grupo de identidades para cargas de trabajo administrado a un grupo de Certificate Authority Service con una configuración de emisión de certificados. Esto ayuda a evitar interrupciones del servicio causadas por certificados vencidos.

Antes de comenzar

Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Roles obligatorios

Para obtener los permisos que necesitas para configurar la administración del ciclo de vida, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

Editor del Administrador de certificados (roles/certificatemanager.editor)
Administrador de certificados del Servicio de CA (roles/privateca.certificateManager)
Administrador de grupos de identidades para cargas de trabajo (roles/iam.workloadIdentityPoolAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Configura el ciclo de vida de las cargas de trabajo administradas

Configura un grupo de identidades para cargas de trabajo administradas para especificar cómo las cargas de trabajo asociadas reciben y renuevan certificados de tu grupo existente de CA Service.

En la consola de Google Cloud , ve a la página Administrador de certificados (2ª gen.).
Ir al Administrador de certificados (2ª gen.)
En el panel de navegación, haz clic en Administrar ciclo de vida.
Selecciona la pestaña Managed Workload Identity.
Busca el grupo de identidades para cargas de trabajo que deseas configurar y, luego, haz clic en Configurar la administración del ciclo de vida.
Selecciona la región y el grupo de AC para la región.
En el campo Duración del certificado, especifica la validez del certificado emitido. El valor debe estar entre 21 y 30 días.
Establece el Período de rotación en un valor entre 50 y 80. Es el porcentaje de la vida útil del certificado que activa una renovación.
En el campo Algoritmo de clave, selecciona el algoritmo de encriptación que se usará para generar la clave privada.
Haz clic en Actualizar.