Eduardo Martinez Blog
Curso GCP
Gestión de Identidades y Service Accounts (IAM) | Curso Google Cloud Associate Cloud Engineer

Dominando IAM: Service Accounts y el Principio de Menor Privilegio

Autor: Eduardo Martínez Agrelo

La seguridad en la nube no se trata de muros físicos, sino de identidades. En el examen Associate Cloud Engineer (ACE), Identity and Access Management (IAM) es uno de los pilares más importantes. En este ejercicio, pasamos de gestionar usuarios humanos a gestionar identidades de máquinas, aplicando la regla de oro de la ciberseguridad: el Principio de Menor Privilegio.

Humanos vs. Robots: Entendiendo las Service Accounts

En GCP, distinguimos dos tipos principales de identidades:

  • Cuentas de Usuario: Personas físicas (tú y yo) que se autentican con Google o Cloud Identity.
  • Service Accounts (Cuentas de Servicio): Identidades especiales utilizadas por aplicaciones, máquinas virtuales o flujos de trabajo automatizados.

Una Service Account es lo que permite que tu servidor web hable con tu base de datos sin que tengas que escribir tu contraseña personal en el código. Es un recurso crítico: si alguien roba las credenciales de una Service Account, roba su identidad y sus permisos.

La Regla de Oro: Principio de Menor Privilegio

El concepto más repetido en el examen ACE es el Principio de Menor Privilegio. Dicta que una identidad debe tener solo los permisos estrictamente necesarios para realizar su función, y ni uno más.

Ejemplo de examen: Si tienes una aplicación que necesita leer imágenes de Cloud Storage, ¿qué rol le asignas?

  • Incorrecto: roles/editor o roles/owner. (Demasiado amplio, permite borrar o modificar todo).
  • Incorrecto: roles/storage.admin. (Permite borrar buckets enteros).
  • Correcto: roles/storage.objectViewer. (Solo permite leer objetos, nada más).

Tipos de Roles en GCP

Para aplicar este principio, debemos elegir el tipo de rol adecuado:

  • Roles Primitivos (Básicos): Son los clásicos Owner, Editor y Viewer. Afectan a todo el proyecto. Evítalos en producción y en el examen, salvo para entornos de pruebas muy simples.
  • Roles Predefinidos: Gestionados por Google (ej. roles/compute.instanceAdmin). Son granulares y se actualizan automáticamente con nuevos permisos si el servicio evoluciona. Son la opción estándar recomendada.

La Práctica con gcloud CLI

Aunque IAM se puede gestionar desde la consola, el examen evalúa tu capacidad para automatizar seguridad. En este ejercicio utilizamos comandos clave:

  • gcloud iam service-accounts create: Para generar la identidad de la máquina.
  • gcloud projects add-iam-policy-binding: El comando "pegamento" que une tres cosas: el Proyecto, la Identidad (Member) y el Rol.

Conclusión: Seguridad por Diseño

Al finalizar este ejercicio, habrás creado una identidad segura para tus despliegues automatizados (`dev-deployer`), limitando su radio de acción exclusivamente a lo que necesita. Has aprendido a no usar tu superusuario personal para tareas rutinarias y a bloquear el acceso innecesario usando la línea de comandos.

Newsletter GCP
¿Quieres estar al día con las últimas novedades de Google Cloud Platform? ¡Suscríbete y no te pierdas nada!
Spark: Infraestructura como Código con Terraform | Curso Spark, Scala y Terraform
March 12, 2026
Aprende a desplegar clústeres de Big Data profesionalmente. Domina Terraform para crear infraestructura como código (IaC) en Google Cloud y automatiza tu entorno de Dataproc para Spark.
Spark: Ingesta (Raw to Bronze) y Formatos Columnares | Curso Spark, Scala y Terraform
March 12, 2026
Domina la ingesta de datos con Spark. Aprende a convertir JSONs pesados en formato Parquet, optimiza tu almacenamiento en un 85% y domina los esquemas estrictos con Scala.
Spark: Limpieza y Calidad (Bronze to Silver) | Curso Spark, Scala y Terraform
March 12, 2026
Domina la limpieza de datos en Spark. Aprende a usar Scala para implementar la capa Silver (Plata) de tu arquitectura Medallón, utilizando Case Classes para mayor seguridad.
Spark: Analítica Avanzada (Silver to Gold) | Curso Spark, Scala y Terraform
March 12, 2026
Domina el Análisis Avanzado con Spark. Aprende a calcular métricas de negocio con Window Functions y a extraer el Top 3 de canciones por país y día para tu capa Gold.