Configura ADC para un recurso con una cuenta de servicio conectada

Algunos Google Cloud servicios, como Compute Engine, App Engine y Cloud Run Functions, admiten adjuntar una cuenta de servicio administrada por el usuario a algunos tipos de recursos. Por lo general, se admite la conexión de una cuenta de servicio cuando los recursos de ese servicio pueden ejecutarse o incluir el código de la aplicación. Cuando conectas una cuenta de servicio a un recurso, el código que se ejecuta en el recurso puede usar esa cuenta de servicio como su identidad.

Se recomienda conectar una cuenta de servicio administrada por el usuario para proporcionar credenciales a las ADC para el código de producción que se ejecuta en Google Cloud.

Para obtener ayuda sobre cómo determinar los roles que debes proporcionar a tu cuenta de servicio, consulta Elige roles predefinidos.

Para obtener información sobre los recursos a los que puedes conectar una cuenta de servicio y ayudar a conectar la cuenta de servicio al recurso, consulta la documentación de IAM sobre cómo conectar una cuenta de servicio.

Configura la autenticación:

Asegúrate de tener los roles de IAM de creador de cuentas de servicio (roles/iam.serviceAccountCreator) y administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin). Obtén más información para otorgar roles.
Crea la cuenta de servicio:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
Reemplaza SERVICE_ACCOUNT_NAME por un nombre para la cuenta de servicio.
Para proporcionar acceso a tu proyecto y tus recursos, otorga un rol a la cuenta de servicio:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
Reemplaza lo siguiente:
- SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio
- PROJECT_ID: el ID del proyecto en el que creaste la cuenta de servicio
- ROLE: el rol a otorgar
Nota: La marca --role afecta a qué recursos puede acceder la cuenta de servicio en tu proyecto. Puedes revocar estas funciones o asignar otras más adelante. En entornos de producción, no otorgues los roles de propietario, editor o visualizador. En su lugar, otorga una función predefinida o una función personalizada que satisfaga tus necesidades.
Para otorgar otro rol a la cuenta de servicio, ejecuta el comando como lo hiciste en el paso anterior.
Otorga el rol requerido a la principal que conectará la cuenta de servicio a otros recursos.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
Reemplaza lo siguiente:
- SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio
- PROJECT_ID: el ID del proyecto en el que creaste la cuenta de servicio
- USER_EMAIL: La dirección de correo electrónico de una Cuenta de Google

¿Qué sigue?

Comprende las prácticas recomendadas para usar cuentas de servicio y claves de cuentas de servicio.
Obtén más información sobre cómo ADC encuentra credenciales.
Autentica para usar las bibliotecas cliente de Cloud.
Explora los métodos de autenticación.

Configura ADC para un recurso con una cuenta de servicio conectada Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

¿Qué sigue?

Configura ADC para un recurso con una cuenta de servicio conectada