Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Inhabilitar y habilitar claves de cuentas de servicio

En esta página se explica cómo inhabilitar y habilitar claves de cuentas de servicio mediante laTrusted Cloud consola, la CLI de Google Cloud, la API Identity and Access Management o una de las bibliotecas de cliente de Google Cloud.

Nota: Las claves de las cuentas de servicio suponen un riesgo para la seguridad si no se gestionan adecuadamente. Siempre que sea posible, deberías elegir una alternativa más segura a las claves de cuentas de servicio. Si debes autenticarte con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones descritas en las prácticas recomendadas para gestionar las claves de cuentas de servicio. Si no puedes crear una clave de cuenta de servicio, es posible que la creación de claves de cuenta de servicio esté inhabilitada en tu organización. Para obtener más información, consulta el artículo sobre gestionar recursos de organización seguros de forma predeterminada.

Si has obtenido la clave de cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta los requisitos de seguridad de las credenciales de fuentes externas.

Antes de empezar

Enable the IAM API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API
Configura la autenticación.

Select the tab for how you plan to use the samples on this page:
gcloud

Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
```
gcloud init
```
Java

Para usar las Java muestras de esta página en un entorno de desarrollo local, instala e inicializa la CLI de gcloud y, a continuación, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.
Para obtener más información, consulta Configurar ADC en un entorno de desarrollo local en la documentación de autenticación Trusted Cloud .
REST

Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.
Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Trusted Cloud .
Consulta información sobre las credenciales de cuentas de servicio.

Roles obligatorios

Para obtener los permisos que necesitas para habilitar e inhabilitar claves de cuentas de servicio, pide a tu administrador que te asigne el rol de gestión de identidades y accesos Administrador de claves de cuenta de servicio (roles/iam.serviceAccountKeyAdmin) en el proyecto o en la cuenta de servicio cuyas claves quieras gestionar. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Para obtener más información, consulta Roles de cuentas de servicio.

Los roles básicos de gestión de identidades y accesos también contienen permisos para gestionar claves de cuentas de servicio. No debes conceder roles básicos en un entorno de producción, pero sí puedes hacerlo en un entorno de desarrollo o de pruebas.

Inhabilitar una clave de cuenta de servicio

Si inhabilitas una clave de cuenta de servicio, no podrás usarla para autenticarte en las APIs de Google. Puedes habilitar una clave inhabilitada en cualquier momento.

Antes de eliminar una clave de cuenta de servicio, te recomendamos que inhabilites la clave y esperes hasta que tengas la certeza de que ya no la necesitas. Después, puedes eliminar la clave.

Puedes ver las claves inhabilitadas en la consola Trusted Cloud , pero no puedes usarla para inhabilitar una clave.Trusted Cloud En su lugar, usa la CLI de gcloud o la API REST.

gcloud

Ejecuta el comando gcloud iam service-accounts keys disable para inhabilitar una clave de cuenta de servicio.

Sustituye los siguientes valores:

KEY_ID: ID de la clave que se va a inhabilitar. Para encontrar el ID de la clave, consulta todas las claves de la cuenta de servicio, identifica la clave que quieras inhabilitar y copia su ID.
SA_NAME: el nombre de la cuenta de servicio a la que pertenece la clave.
PROJECT_ID: tu ID de proyecto Trusted Cloud .

gcloud iam service-accounts keys disable KEY_ID \
    --iam-account=SA_NAME@PROJECT_ID. \
    --project=PROJECT_ID

Resultado:

Disabled key [KEY_ID] for service account
[SA_NAME@PROJECT_ID.]

Java

Para saber cómo instalar y usar la biblioteca de cliente de IAM, consulta Bibliotecas de cliente de IAM. Para obtener más información, consulta la documentación de referencia de la API Java de gestión de identidades y accesos.

Para autenticarte en IAM, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta la sección Antes de empezar.


import com.google.cloud.iam.admin.v1.IAMClient;
import java.io.IOException;


public class DisableServiceAccountKey {

  public static void main(String[] args) throws IOException {
    // TODO(Developer): Replace the below variables before running.
    String projectId = "gcloud-project-id";
    String serviceAccountName = "service-account-name";
    String serviceAccountKeyName = "service-account-key-name";

    disableServiceAccountKey(projectId, serviceAccountName, serviceAccountKeyName);
  }

  // Disables a service account key.
  public static void disableServiceAccountKey(String projectId,
                                              String accountName,
                                              String key) throws IOException {
    // Construct the service account email.
    // You can modify the ".iam.gserviceaccount.com" to match the service account name in which
    // you want to disable the key.
    // See, https://cloud.google.com/iam/docs/creating-managing-service-account-keys#disabling
    String email = String.format("%s@%s.iam.gserviceaccount.com", accountName, projectId);
    String name = String.format("projects/%s/serviceAccounts/%s/keys/%s", projectId, email, key);

    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (IAMClient iamClient = IAMClient.create()) {
      iamClient.disableServiceAccountKey(name);

      System.out.println("Disabled service account key: " + name);
    }
  }
}

REST

El método projects.serviceAccounts.keys.disable inhabilita una clave de cuenta de servicio.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

PROJECT_ID: tu ID de proyecto. Trusted Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.
SA_NAME: el nombre de la cuenta de servicio cuya clave quieres inhabilitar.
KEY_ID: el ID de la clave que quieras inhabilitar. Para encontrar el ID de la clave, consulta todas las claves de la cuenta de servicio, identifica la clave que quieras inhabilitar y, a continuación, copia su ID del final del campo name. El ID de la clave es todo lo que hay después de keys/.

Método HTTP y URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID./keys/KEY_ID:disable

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID./keys/KEY_ID:disable"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID./keys/KEY_ID:disable" | Select-Object -Expand Content

Explorador de APIs (navegador)

Abre la página de referencia del método. El panel Explorador de APIs se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Rellena los campos obligatorios y haz clic en Ejecutar.

Deberías recibir una respuesta JSON similar a la siguiente:

{
}

Habilitar una clave de cuenta de servicio

Después de inhabilitar una clave de cuenta de servicio, puedes habilitarla en cualquier momento y usarla para autenticarte en las APIs de Google.

No puedes usar la consola Trusted Cloud para habilitar las claves de cuentas de servicio. Usa la CLI de gcloud o la API REST.

gcloud

Ejecuta el comando gcloud iam service-accounts keys enable para habilitar una clave de cuenta de servicio.

Sustituye los siguientes valores:

KEY_ID: el ID de la clave que se va a habilitar. Para encontrar el ID de la clave, consulta todas las claves de la cuenta de servicio, identifica la clave que quieras habilitar y, a continuación, copia su ID.
SA_NAME: el nombre de la cuenta de servicio a la que pertenece la clave.
PROJECT_ID: tu ID de proyecto Trusted Cloud .

gcloud iam service-accounts keys enable KEY_ID \
    --iam-account=SA_NAME@PROJECT_ID.\
    --project=PROJECT_ID

Resultado:

Enabled key [KEY_ID] for service account
[SA_NAME@PROJECT_ID.]

Java

Para autenticarte en IAM, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta la sección Antes de empezar.


import com.google.cloud.iam.admin.v1.IAMClient;
import java.io.IOException;


public class EnableServiceAccountKey {

  public static void main(String[] args) throws IOException {
    // TODO(Developer): Replace the below variables before running.
    String projectId = "gcloud-project-id";
    String serviceAccountName = "service-account-name";
    String serviceAccountKeyName = "service-account-key-name";

    enableServiceAccountKey(projectId, serviceAccountName, serviceAccountKeyName);
  }

  // Enables a service account key.
  public static void enableServiceAccountKey(String projectId,
                                             String accountName,
                                             String key) throws IOException {
    // Construct the service account email.
    // You can modify the ".iam.gserviceaccount.com" to match the service account name in which
    // you want to enable the key.
    // See, https://cloud.google.com/iam/docs/creating-managing-service-account-keys#enabling
    String email = String.format("%s@%s.iam.gserviceaccount.com", accountName, projectId);
    String name = String.format("projects/%s/serviceAccounts/%s/keys/%s", projectId, email, key);

    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (IAMClient iamClient = IAMClient.create()) {
      iamClient.enableServiceAccountKey(name);

      System.out.println("Enabled service account key: " + name);
    }
  }
}

REST

El método projects.serviceAccounts.keys.enable habilita una clave de cuenta de servicio.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

PROJECT_ID: tu ID de proyecto. Trusted Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.
SA_NAME: nombre de la cuenta de servicio cuya clave quieres habilitar.
KEY_ID: el ID de la clave que quieres habilitar. Para encontrar el ID de la clave, consulta todas las claves de la cuenta de servicio, identifica la clave que quieras habilitar y, a continuación, copia su ID del final del campo name. El ID de la clave es todo lo que hay después de keys/.

Método HTTP y URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID./keys/KEY_ID:enable

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el comando siguiente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d "" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID./keys/KEY_ID:enable"

PowerShell (Windows)

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID./keys/KEY_ID:enable" | Select-Object -Expand Content

Explorador de APIs (navegador)

Deberías recibir una respuesta JSON similar a la siguiente:

{
}

Siguientes pasos

Consulta cómo eliminar claves de cuentas de servicio.
Consulta cómo listar y obtener claves de cuentas de servicio.
Consulta cómo usar claves de cuentas de servicio para autenticarte como cuenta de servicio.
Consulta las alternativas a las claves de cuentas de servicio para la autenticación.
Consulta las prácticas recomendadas para gestionar las claves de cuentas de servicio.