Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Rotación de claves de cuenta de servicio

Las claves de cuenta de servicio son claves privadas que te permiten autenticarte como una cuenta de servicio. La rotación de claves es el proceso de sustituir las claves que ya tienes por otras nuevas y, a continuación, invalidar las claves sustituidas. Te recomendamos que rotes periódicamente todas las claves que gestionas, incluidas las de tus cuentas de servicio.

Rotar las claves de cuentas de servicio puede ayudar a reducir el riesgo que suponen las claves filtradas o robadas. Si se filtra una clave, los agentes perniciosos pueden tardar días o semanas en descubrirla. Si rotas las claves de tu cuenta de servicio con regularidad, es más probable que las claves filtradas no sean válidas cuando un agente malintencionado las obtenga.

Tener un proceso establecido para rotar las claves de cuenta de servicio también te ayuda a actuar rápidamente si sospechas que una clave de cuenta de servicio se ha visto comprometida.

Nota: Las claves de las cuentas de servicio suponen un riesgo para la seguridad si no se gestionan adecuadamente. Siempre que sea posible, deberías elegir una alternativa más segura a las claves de cuentas de servicio. Si debes autenticarte con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones descritas en las prácticas recomendadas para gestionar las claves de cuentas de servicio. Si no puedes crear una clave de cuenta de servicio, es posible que la creación de claves de cuenta de servicio esté inhabilitada en tu organización. Para obtener más información, consulta el artículo sobre gestionar recursos de organización seguros de forma predeterminada.

Si has obtenido la clave de cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta los requisitos de seguridad de las credenciales de fuentes externas.

Con qué frecuencia se deben rotar las claves

Te recomendamos que rotes tus claves al menos cada 90 días para reducir el riesgo que suponen las claves filtradas.

Si crees que se ha vulnerado la seguridad de una clave de cuenta de servicio, te recomendamos que la cambies inmediatamente.

Proceso de rotación de claves

Para rotar las claves de cuenta de servicio, sigue estos pasos:

Identifica las claves de cuentas de servicio que deben rotarse.
Crea claves para las mismas cuentas de servicio.
Sustituye las teclas actuales por las nuevas en todas las aplicaciones.
Inhabilita las claves sustituidas y monitoriza las aplicaciones para confirmar que funcionan correctamente.
Elimina las claves de cuenta de servicio que se hayan sustituido.

Puedes completar estos pasos mediante un servicio de gestión de secretos centralizado o un sistema de notificaciones personalizado.

Servicio de gestión de secretos centralizado

Muchos servicios de gestión de secretos centralizados, como HashiCorp Vault, ofrecen la rotación automática de secretos. Puedes usar estos servicios para almacenar y rotar las claves de tu cuenta de servicio.

No recomendamos usar servicios de gestión de secretos basados en la nube, como Azure Key Vault y AWS Secret Manager, para almacenar y rotar claves de cuentas de servicio. Esto se debe a que, para acceder a estos secretos almacenados, tu aplicación necesita una identidad que el proveedor de la nube pueda reconocer. Si tu aplicación ya tiene una identidad que el proveedor de la nube puede reconocer, puede usarla para autenticarse en lugar de usar una clave de cuenta de servicio.

Sistema de notificaciones personalizadas

Otra forma de rotar las claves de cuentas de servicio es crear un sistema que envíe notificaciones cuando sea necesario rotar las claves. Por ejemplo, puedes crear un sistema que envíe alertas cuando detecte claves que se hayan creado hace más de 90 días.

Primero, debes identificar las claves que deben rotarse. Para identificar estas claves, te recomendamos que uses Inventario de recursos de Cloud para buscar todas las claves de cuentas de servicio que se hayan creado antes de una hora determinada.

Por ejemplo, el siguiente comando muestra todas las claves de cuenta de servicio que se crearon antes del 2023-03-10 00:00:00 UTC en la organización con el ID 123456789012:

gcloud asset search-all-resources \
    --scope="organizations/123456789012" \
    --query="createTime < 2023-03-10" \
    --asset-types="iam.googleapis.com/ServiceAccountKey" \
    --order-by="createTime"

Para obtener más información sobre cómo buscar recursos en Inventario de Recursos de Cloud, consulta Buscar recursos. Una vez que hayas identificado las claves que deben rotarse, puedes enviar notificaciones a los equipos correspondientes.

Cuando se le notifica a alguien que debe rotar una clave, debe hacer lo siguiente:

Crea una clave para la misma cuenta de servicio.
Sustituye la clave actual por la nueva en todas las aplicaciones.
Inhabilita la clave que han sustituido y monitoriza las aplicaciones para confirmar que funcionan correctamente.
Una vez que hayan confirmado que las aplicaciones funcionan correctamente, elimina la clave sustituida.

Claves de cuenta de servicio que van a caducar

No recomendamos usar claves de cuentas de servicio que caduquen para la rotación de claves. Esto se debe a que las claves caducadas pueden provocar interrupciones si no se rotan correctamente. Para obtener más información sobre los casos prácticos de las claves de cuentas de servicio que caducan, consulta los tiempos de caducidad de las claves gestionadas por los usuarios.

Siguientes pasos

Crear, inhabilitar y eliminar claves de cuenta de servicio.