¿Cómo gestiono la identidad y el acceso a los recursos (Hablemos en Cloud)

Google Cloud Tech

7 Jun 201907:01

Summary

TLDREn este video, Mapi García, Technical Account Manager en Google Cloud, explica cómo gestionar la identidad y el acceso a los recursos en Google Cloud Platform (GCP). Detalla el proceso de asignación de políticas de IAM (Identity Access Management), que incluyen definir quién tiene acceso a qué recursos y qué acciones pueden realizar. Se abordan los tipos de roles de IAM: primitivos, predefinidos y personalizados, así como el uso de cuentas de servicio para autenticar aplicaciones. Además, ofrece buenas prácticas para la gestión de permisos y seguridad, destacando la importancia de controlar el acceso en proyectos de GCP.

Takeaways

😀 La gestión de identidad y acceso en Google Cloud se realiza mediante políticas de IAM, que definen quién tiene acceso a qué recursos y qué acciones puede realizar sobre ellos.
😀 IAM se basa en tres partes: un 'quién' (identidad), un 'qué' puede hacer (rol) y un 'recurso' (lo que se desea controlar).
😀 Las identidades pueden ser cuentas de usuario de Google, grupos de Google, cuentas de servicio o dominios completos de GSuite o Cloud Identity.
😀 Los roles en IAM pueden ser primitivos, predefinidos o personalizados, y permiten agrupar permisos para facilitar su administración.
😀 Los roles primitivos son históricos y aplican a todo un proyecto, con tres tipos básicos: propietario, editor y lector.
😀 Los roles predefinidos son específicos de cada servicio de Google Cloud y permiten asignar permisos más detallados sobre los recursos, como en el caso de Compute Engine o BigTable.
😀 Una buena práctica es utilizar grupos para definir los permisos y facilitar la gestión de cambios de personal.
😀 Los roles personalizados permiten crear conjuntos de permisos más específicos, pero solo pueden aplicarse a nivel de proyecto o organización, no en carpetas.
😀 Las cuentas de servicio son identidades usadas por aplicaciones para autenticarse y acceder a las APIs de Google Cloud, y son esenciales para interacciones servidor a servidor.
😀 Es crucial manejar las claves de las cuentas de servicio con cuidado, mantenerlas seguras y rotarlas con frecuencia, ya que permiten acceso a los recursos del proyecto.

Q & A

¿Qué es la gestión de identidad y acceso (IAM) en Google Cloud?
-La gestión de identidad y acceso (IAM) en Google Cloud se refiere al proceso de asignar políticas para gestionar quién tiene acceso a los recursos en Google Cloud y qué actividades puede realizar sobre esos recursos. Se compone de tres partes: la identidad (quién), los permisos (qué puede hacer) y los recursos a los que se accede.
¿Qué tipos de roles existen en IAM de Google Cloud?
-Existen tres tipos de roles en IAM de Google Cloud: roles primitivos, roles predefinidos y roles personalizados. Los roles primitivos son genéricos (propietario, editor, lector), los roles predefinidos son específicos para servicios de GCP y los roles personalizados permiten definir permisos específicos.
¿Cuál es la diferencia entre los roles de propietario, editor y lector?
-El rol de propietario otorga todos los permisos, incluyendo la capacidad de administrar roles y facturación. El rol de editor permite modificar el estado de los recursos, mientras que el rol de lector solo permite visualizar los recursos sin modificarlos.
¿Qué son los roles predefinidos en Google Cloud?
-Los roles predefinidos son roles específicos creados por Google para cada servicio en Google Cloud. Estos roles contienen un conjunto de permisos necesarios para gestionar recursos de un servicio en particular, como Compute Engine o Big Table.
¿Qué son los roles personalizados en Google Cloud?
-Los roles personalizados permiten crear roles específicos para necesidades particulares, definiendo un conjunto de permisos que no están cubiertos por los roles predefinidos. Sin embargo, solo pueden usarse a nivel de proyecto u organización, no a nivel de carpeta.
¿Qué es una cuenta de servicio en Google Cloud?
-Una cuenta de servicio en Google Cloud es una identidad que pueden utilizar las aplicaciones para autenticar y obtener acceso a las APIs de Google Cloud, permitiendo interacciones servidor a servidor. Es útil cuando se requiere que una máquina virtual o servicio acceda a otros recursos en la nube.
¿Cómo se gestionan las claves de una cuenta de servicio?
-Las claves de una cuenta de servicio deben ser gestionadas con cuidado, ya que proporcionan acceso a recursos. Si la aplicación se ejecuta en Compute Engine o App Engine, Google gestiona y rota las claves automáticamente. Si se ejecuta en otro entorno, es necesario generar y descargar las claves, manteniéndolas seguras y rotándolas con frecuencia.
¿Qué tipo de roles puede tener una cuenta de servicio?
-Una cuenta de servicio puede tener roles IAM asignados que le permitan acceder a los recursos de Google Cloud. Por ejemplo, si una máquina virtual necesita acceder a servicios como Compute Engine, se le debe asignar un rol de IAM correspondiente.
¿Por qué es importante suspender en lugar de eliminar las cuentas de usuario en Google Cloud?
-Es importante suspender las cuentas de usuario en lugar de eliminarlas para asegurar la continuidad en el equipo. Si un miembro del equipo abandona la empresa, el administrador de dominio debe suspender la cuenta para evitar la pérdida de acceso accidental o mal manejo de los permisos.
¿Qué buenas prácticas se recomiendan para la gestión de roles en Google Cloud?
-Se recomienda otorgar el rol de propietario a varios miembros del equipo para asegurar la continuidad en caso de que un propietario se elimine o abandone la organización. También es una buena práctica usar grupos para gestionar los permisos y facilitar la administración del personal, controlando el acceso a las políticas de los grupos.