Esta página se ha traducido con Cloud Translation API.

Gestión de identidades para Google Cloud

Para usar Google Cloud, los usuarios y las cargas de trabajo necesitan una identidad que Google Cloud puedan reconocer.

En esta página se describen los métodos que puede usar para configurar identidades de usuarios y cargas de trabajo.

Identidades de usuario

Hay varias formas de configurar las identidades de usuario para que Google Cloud pueda reconocerlas:

Crear cuentas de Cloud Identity o Google Workspace: los usuarios con cuentas de Cloud Identity o Google Workspace pueden autenticarse en Google Cloud y autorizarse para usar Google Cloud recursos. Las cuentas de Cloud Identity y Google Workspace son cuentas de usuario gestionadas por tu organización.

Configura una de las siguientes estrategias de identidad federada:
- Federación mediante Cloud Identity o Google Workspace: sincroniza las identidades externas con las cuentas de Cloud Identity o Google Workspace correspondientes para que los usuarios puedan iniciar sesión en los servicios de Google con sus credenciales externas. Con este método, los usuarios necesitan dos cuentas: una cuenta externa y una cuenta de Cloud Identity o de Google Workspace. Puedes mantener estas cuentas sincronizadas con una herramienta como Google Cloud Directory Sync (GCDS).
- Federación de identidades de trabajo: usa tu proveedor de identidades (IdP) externo para que tus usuarios inicien sesión en Google Cloud y puedan acceder a los recursos y productos deGoogle Cloud . Con la federación de identidades de Workforce, los usuarios solo necesitan una cuenta: su cuenta externa. Este tipo de identidad de usuario se denomina a veces identidad federada.

Para obtener más información sobre estos métodos para configurar identidades de usuario, consulta el artículo Descripción general de las identidades de usuario.

Google Cloud proporciona los siguientes tipos de servicios de identidad para cargas de trabajo:

Federación de identidades de cargas de trabajo permite que tus cargas de trabajo accedan a la mayoría de los servicios de Google Cloud mediante una identidad proporcionada por un proveedor de identidades. Las cargas de trabajo que usan la federación de identidades de carga de trabajo se pueden ejecutar en Google Cloud, Google Kubernetes Engine (GKE) u otras plataformas, como AWS, Azure y GitHub.
Las Google Cloud cuentas de servicio pueden actuar como identidades de cargas de trabajo. En lugar de conceder acceso directamente a una carga de trabajo, concede acceso a una cuenta de servicio y, a continuación, permite que la carga de trabajo use la cuenta de servicio como su identidad.
Las identidades de carga de trabajo gestionadas (vista previa) te permiten vincular identidades con certificación sólida a tus cargas de trabajo de Compute Engine. Puedes usar identidades de carga de trabajo gestionadas para autenticar tus cargas de trabajo en otras cargas de trabajo mediante TLS mutuo (mTLS), pero no se pueden usar para autenticarte en APIs de Google Cloud .

Los métodos que puedes usar dependen de dónde se ejecuten tus cargas de trabajo.

Si ejecutas cargas de trabajo en Google Cloud, puedes usar los siguientes métodos para configurar identidades de cargas de trabajo:

Workload Identity Federation for GKE: concede acceso de IAM a clústeres de GKE y cuentas de servicio de Kubernetes. De esta forma, las cargas de trabajo de los clústeres pueden acceder directamente a la mayoría de los servicios Google Cloud sin usar la suplantación de identidad de la cuenta de servicio de IAM.
Cuentas de servicio asociadas: asocia una cuenta de servicio a un recurso para que actúe como identidad predeterminada del recurso. Las cargas de trabajo que se ejecuten en el recurso usarán la identidad de la cuenta de servicio al acceder a los servicios deGoogle Cloud .
Credenciales de cuenta de servicio de duración reducida: genera y usa credenciales de cuenta de servicio de duración reducida siempre que tus recursos necesiten acceder a servicios deGoogle Cloud . Los tipos de credenciales más habituales son los tokens de acceso de OAuth 2.0 y los tokens de ID de OpenID Connect (OIDC).

Si ejecutas cargas de trabajo fuera de Google Cloud, puedes usar los siguientes métodos para configurar identidades de cargas de trabajo:

Federación de identidades de cargas de trabajo: usa credenciales de proveedores de identidades externos para generar credenciales de duración reducida que las cargas de trabajo pueden usar para suplantar temporalmente cuentas de servicio. Las cargas de trabajo pueden acceder a los recursos deGoogle Cloud usando la cuenta de servicio como identidad.
Claves de cuenta de servicio: usa la parte privada de un par de claves RSA pública/privada de una cuenta de servicio para autenticarte como la cuenta de servicio.

Importante: Las claves de las cuentas de servicio suponen un riesgo para la seguridad si no se gestionan adecuadamente. Siempre que sea posible, deberías elegir una alternativa más segura a las claves de cuentas de servicio. Si debes autenticarte con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones descritas en las prácticas recomendadas para gestionar las claves de cuentas de servicio. Si no puedes crear una clave de cuenta de servicio, es posible que la creación de claves de cuenta de servicio esté inhabilitada en tu organización. Para obtener más información, consulta el artículo sobre gestionar recursos de organización seguros de forma predeterminada.
Si has obtenido la clave de cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta los requisitos de seguridad de las credenciales de fuentes externas.

Para obtener más información sobre estos métodos para configurar identidades de carga de trabajo, consulta el artículo Información general sobre las identidades de carga de trabajo.