Se usó la API de Cloud Translation para traducir esta página.

Identidades para las cargas de trabajo

En esta página, se describen los tipos de identidad que puedes usar para configurar el acceso de tus cargas de trabajo a los recursos de Google Cloud .

Google Cloud proporciona los siguientes tipos de identidades para las cargas de trabajo:

La federación de identidades para cargas de trabajo y la Workload Identity Federation for GKE permiten que tus cargas de trabajo accedan a la mayoría de los servicios de Google Cloud mediante identidades federadas que se autentican a través de un proveedor de identidad externo (IdP). Después de queGoogle Cloud autentica la identidad como principal, este puede acceder a los recursos con los roles de IAM que otorgues.
Las cuentas de servicio deGoogle Cloud pueden actuar como identidades para las cargas de trabajo en entornos de producción. En lugar de otorgar acceso a una carga de trabajo directamente, debes hacerlo a una cuenta de servicio y, luego, hacer que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades para cargas de trabajo administradas (versión preliminar) te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine y GKE.

Los tipos de identidades que puedes usar para las cargas de trabajo y la forma en que las configuras dependen de dónde se ejecutan tus cargas de trabajo.

Configura cargas de trabajo en Google Cloud

Si ejecutas cargas de trabajo en Google Cloud, puedes usar los siguientes métodos para configurar identidades para tus cargas de trabajo:

Cuentas de servicio conectadas
Workload Identity Federation for GKE (solo para cargas de trabajo que se ejecutan en Google Kubernetes Engine)
Identidades para cargas de trabajo administradas (solo para cargas de trabajo que se ejecutan en Compute Engine y GKE)
Claves de cuenta de servicio

Cuentas de servicio conectadas

Para algunos Google Cloud recursos, puedes especificar una cuenta de servicio administrada por el usuario que el recurso use como su identidad predeterminada. Este proceso se conoce como conectar la cuenta de servicio al recurso o asociar la cuenta de servicio al recurso. Cuando el código que se ejecuta en el recurso accede a los servicios y recursos de Google Cloud , utiliza la cuenta de servicio adjunta al recurso como su identidad. Por ejemplo, si conectas una cuenta de servicio a una instancia de Compute Engine, y las aplicaciones en la instancia usan una biblioteca cliente para llamar a las APIs de Google Cloud , esas aplicaciones utilizan automáticamente la cuenta de servicio conectada para la autenticación y la autorización.

En la mayoría de los casos, debes conectar una cuenta de servicio a un recurso cuando lo creas. Después de crear el recurso, no puedes cambiar qué cuenta de servicio está conectada al recurso. Las instancias de Compute Engine son una excepción a esta regla. Puedes cambiar la cuenta de servicio conectada a una instancia según sea necesario.

Para obtener más información, consulta Conecta una cuenta de servicio a un recurso.

Workload Identity Federation for GKE

En el caso de las cargas de trabajo que se ejecutan en GKE, Workload Identity Federation for GKE te permite otorgar roles de IAM a conjuntos distintos y detallados de principales para cada aplicación en el clúster. La federación de identidades para cargas de trabajo para GKE permite que las cuentas de servicio de Kubernetes en tu clúster de GKE accedan a los recursos de Google Clouddirectamente, a través de la federación de identidades para cargas de trabajo, o indirectamente, a través de la identidad temporal como cuenta de servicio de IAM.

Si usas el acceso directo a los recursos, puedes otorgar roles de IAM a la identidad de la cuenta de servicio de Kubernetes directamente en los recursos del Google Cloud servicio. La mayoría de las APIs de Google Cloud admiten el acceso directo a los recursos. Sin embargo, cuando se usa la federación de identidades, es posible que ciertos métodos de la API tengan limitaciones. Para obtener una lista de estas limitaciones, consulta Productos admitidos y limitaciones.

Como alternativa, las cargas de trabajo también pueden usar la identidad temporal como cuenta de servicio, en el que la cuenta de servicio de Kubernetes configurada está vinculada a una cuenta de servicio de IAM, que funciona como la identidad cuando se accede a las APIs de Google Cloud.

Para obtener más información sobre Workload Identity Federation for GKE, consulta Workload Identity Federation for GKE.

Identidades para cargas de trabajo administradas

Las identidades para cargas de trabajo administradas te permiten vincular identidades certificadas a tus cargas de trabajo de Compute Engine y GKE. Puedes usar identidades para cargas de trabajo administradas para autenticar tus cargas de trabajo en otras cargas de trabajo a través de mTLS.

Para obtener más información sobre las identidades de cargas de trabajo administradas y cómo configurar plataformas para usarlas, consulta Descripción general de las identidades de cargas de trabajo administradas.

Configura cargas de trabajo externas

Si ejecutas cargas de trabajo fuera de Google Cloud, puedes usar los siguientes métodos para configurar identidades para tus cargas de trabajo:

Federación de identidades para cargas de trabajo
Claves de cuenta de servicio

Federación de identidades para cargas de trabajo

Puedes usar la federación de Workload Identity con cargas de trabajo enGoogle Cloud o cargas de trabajo externas que se ejecutan en plataformas como AWS, Azure, GitHub y GitLab.

La federación de identidades para cargas de trabajo te permite usar credenciales de proveedores de identidad externos, como AWS, Azure y Active Directory, para generar credenciales de corta duración, que las cargas de trabajo pueden usar para actuar en nombre de las cuentas de servicio de forma temporal. Luego, las cargas de trabajo pueden acceder a los recursos de Google Cloudmediante la cuenta de servicio como su identidad.

La federación de identidades para cargas de trabajo es la forma preferida de configurar las identidades para las cargas de trabajo externas.

Para obtener más información sobre la federación de identidades para cargas de trabajo, consulta este documento.

Claves de cuenta de servicio

Una clave de cuenta de servicio permite que una carga de trabajo se autentique como una cuenta de servicio y, luego, use la identidad de la cuenta de servicio para su autorización.

Nota: Las claves de cuenta de servicio son un riesgo de seguridad si no se administran de forma adecuada. Debes elegir una alternativa más segura a las claves de la cuenta de servicio siempre que sea posible. Si te debes autenticar con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones que se describen en Prácticas recomendadas para administrar claves de cuenta de servicio. Si no se te permite crear una clave de cuenta de servicio, es posible que la creación de claves de cuentas de servicio esté inhabilitada para tu organización. Para obtener más información, consulta Administra los recursos de la organización con seguridad de forma predeterminada.

Si adquiriste la clave de la cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta Requisitos de seguridad para credenciales de fuentes externas.

Desarrollo local

Si desarrollas en un entorno local, puedes configurar cargas de trabajo para usar tus credenciales de usuario o una cuenta de servicio para la autenticación y autorización. Para obtener más información, consulta Entorno de desarrollo local en la documentación de autenticación.

¿Qué sigue?

Obtén información sobre cómo configurar la autenticación mediante cuentas de servicio.
Obtén información sobre cómo configurar la autenticación para un entorno de desarrollo local.
Obtén información sobre cómo otorgar a las cuentas de servicio acceso a los recursos.