Las cuentas de servicio en Compute Engine hacen referencia a un tipo especial de cuenta que utiliza una determinada carga de trabajo de un procesamiento o una aplicación, en vez de una persona. Estas cuentas se gestionan a través del Identity Management System IAM.
Además, es importante destacar que las cuentas de servicio en Compute Engine pueden estar administrada por el usuario o directamente por Google.
Tipos de cuentas de servicio en Compute Engine
Estas cuentas se dividen dependiendo del tipo de gestión que tienen y su clasificación es la siguiente:
Cuentas administradas por el usuario
Las cuentas de servicio en Compute Engine que son gestionadas por el usuario de la plataforma incluyen cuentas nuevas creadas de acuerdo a las especificaciones del usuario, así como una cuenta de servicio prestablecida por esta herramienta.
Además, tienen la característica de poder conectarse a una instancia de Google Compute Engine, con el objetivo de facilitar el uso de las credenciales a las aplicaciones que están siendo ejecutadas en las máquinas virtuales alojadas en Google. De modo que las aplicaciones utilizan estos permisos para realizar el proceso de autenticación y autorización con las Interfaces de Programación de Aplicaciones API de la Google Cloud Platform para poder tener acceso a la amplia gama de recursos que tiene la nube de Google.
Cabe resaltar que, una máquina virtual o instancia solo puede tener conectada una cuenta de servicio y que esta cuenta puede cambiarse durante el proceso de creación de la virtual machine o más adelante, dependiendo de los requerimientos del usuario.
🔴 ¿Quieres entrar de lleno al mundo DevOps & Cloud Computing? 🔴
Descubre el DevOps & Cloud Computing Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en DevOps & Cloud Computing por una semanaPara adjuntar una cuenta de servicio a una instancia, el usuario debe crear una cuenta que pueda administrar y otorgarle las funciones estrictamente necesarias para funcionar correctamente. Para esto debe seguir el principio del mínimo privilegio, que evitará que el cliente le dé muchos permisos a una aplicación.
De manera que, para este proceso, el usuario debe tener la certeza de que los alcances establecidos en las máquinas virtuales sean los correctos; además, debe configurar el nivel de acceso de la cuenta a través del uso de los roles IAM.
Por otro lado, estas cuentas de servicio en Compute Engine y administradas por el usuario pueden dividirse en:
Cuentas nuevas
Para la creación y gestión de una cuenta de servicio nueva, el usuario deberá utilizar la Gestión de Identidades y Accesos IAM. Además, con esta solución de control de datos, el cliente puede otorgarle roles de IAM, es decir, identidades de computación en la nube con permisos específicos que establecen lo que la ID tiene autorización para realizar y lo que no.
Del mismo modo, el usuario también podrá configurar diferentes máquinas virtuales para que se ejecuten como si fuera una cuenta de servicio. Además, las aplicaciones que se ejecuten en estas instancias con las cuentas de servicio de Compute Engine adjunta tienen la posibilidad de utilizar las credenciales de la cuenta y hacer solicitudes a otras API de Google.
Cuentas predeterminadas
Las cuentas de servicio en Compute Engine que son gestionadas por el usuario y creadas de forma predeterminada por el sistema de Google tienen un nombre y dirección de correo electrónico establecidos por el sistema. Además, se agregan automáticamente al proyecto del cliente, otorgándole todos los controles a este.
Estas cuentas prestablecidas se ejecutan con el rol de editor de IAM, lo que implica que el usuario tiene la posibilidad de realizar modificaciones en el código, implementar aplicaciones o configurar servicios, entre otras opciones. Además, estas funciones pueden ajustarse para controlar su acceso a las interfaces programáticas para los servicios de Google Cloud, y se vinculan automáticamente a las máquinas virtuales creadas por la CLI de Cloud Console y la nube de Google.
Estas cuentas de servicio en Compute Engine creadas de manera predeterminada podrían ser inhabilitadas o borradas, aunque esto podría implicar ciertas consecuencias negativas para el sistema, como, por ejemplo, la falla de alguna de las aplicaciones dependiente de las credenciales de la cuenta de servicio. En caso de ser eliminadas de forma accidental, el usuario tiene la posibilidad de recuperar estas cuentas de servicio predeterminadas durante un lapso máximo de 30 días.
Cuentas administradas por Google
En lo que respecta a las cuentas de servicios en Compute Engine que administra Google directamente (también conocidas como agentes de servicios) se puede decir que, además de ser desarrolladas y gestionadas por Google, se asignan de forma automática al proyecto del cliente.
Es importante destacar que las cuentas de servicio administradas por Google son la representación de los múltiples servicios y recursos de la plataforma y cada una de estas cuentas contará con un nivel de acceso determinado al proyecto de la nube de Google del usuario. A diferencia de las cuentas de servicio en Compute Engine administradas por el usuario, estas cuentas gestionadas por Google no tienen la posibilidad de adjuntarse a una instancia de la herramienta Compute Engine.
Ahora que ya conoces qué son las cuentas de servicio en Compute Engine y cómo pueden dividirse y caracterizarse, no dudes en dar el siguiente paso y seguir tu proceso de formación con el Bootcamp DevOps y Cloud Computing, donde en menos de 6 meses habrás aprendido todo lo necesario para destacar en el sector IT frente a tus competidores. ¡Inscríbete!