En esta página se explica cómo crear cuentas de servicio con la API Identity and Access Management (IAM), la consola de Trusted Cloud y la herramienta de línea de comandos gcloud.
De forma predeterminada, cada proyecto puede tener hasta 100 cuentas de servicio que controlen el acceso a tus recursos. Si hace falta, puedes solicitar un aumento de la cuota. Más información sobre las cuotas y los límites
Antes de empezar
Enable the IAM API.
Configura la autenticación.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initC#
Para usar las .NET muestras de esta página en un entorno de desarrollo local, instala e inicializa la CLI de gcloud y, a continuación, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Para obtener más información, consulta Configurar ADC en un entorno de desarrollo local en la documentación de autenticación. Trusted Cloud
C++
Para usar las C++ muestras de esta página en un entorno de desarrollo local, instala e inicializa la CLI de gcloud y, a continuación, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Para obtener más información, consulta Configurar ADC en un entorno de desarrollo local en la documentación de autenticación. Trusted Cloud
Go
Para usar las Go muestras de esta página en un entorno de desarrollo local, instala e inicializa la CLI de gcloud y, a continuación, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Para obtener más información, consulta Configurar ADC en un entorno de desarrollo local en la documentación de autenticación. Trusted Cloud
Java
Para usar las Java muestras de esta página en un entorno de desarrollo local, instala e inicializa la CLI de gcloud y, a continuación, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Para obtener más información, consulta Configurar ADC en un entorno de desarrollo local en la documentación de autenticación. Trusted Cloud
Python
Para usar las Python muestras de esta página en un entorno de desarrollo local, instala e inicializa la CLI de gcloud y, a continuación, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Para obtener más información, consulta Configurar ADC en un entorno de desarrollo local en la documentación de autenticación. Trusted Cloud
REST
Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada.
Para obtener más información, consulta el artículo Autenticación para usar REST de la documentación sobre autenticación de Trusted Cloud .
Información sobre las cuentas de servicio de gestión de identidades y accesos
Roles obligatorios
Para obtener los permisos que necesitas para crear cuentas de servicio, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Crear cuentas de servicio (
roles/iam.serviceAccountCreator) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Si quieres conceder acceso a tu proyecto a las cuentas de servicio recién creadas, también necesitas el rol Administrador de gestión de identidades y accesos de proyectos (
roles/resourcemanager.projectIamAdmin).Crear una cuenta de servicio
Cuando crees una cuenta de servicio, debes proporcionar un ID alfanumérico (
SERVICE_ACCOUNT_NAMEen los ejemplos de abajo), comomy-service-account. El ID debe tener entre 6 y 30 caracteres y puede contener caracteres alfanuméricos en minúscula y guiones. Una vez que hayas creado una cuenta de servicio, no podrás cambiar su nombre.El nombre de la cuenta de servicio aparece en la dirección de correo que se proporciona durante la creación, con el formato
SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com.Cada cuenta de servicio también tiene un ID numérico único y permanente que se genera automáticamente.
También debes proporcionar la siguiente información al crear una cuenta de servicio:
DESCRIPTIONes una descripción opcional de la cuenta de servicio.DISPLAY_NAMEes un nombre descriptivo de la cuenta de servicio.PROJECT_IDes el ID de tu Trusted Cloud by S3NS proyecto.
Después de crear una cuenta de servicio, es posible que tengas que esperar 60 segundos o más para poder usarla. Este comportamiento se produce porque las operaciones de lectura son coherentes con el tiempo. Puede tardar un tiempo en que la nueva cuenta de servicio se haga visible. Si intentas leer o usar una cuenta de servicio inmediatamente después de crearla y recibes un error, puedes volver a intentar la solicitud con un tiempo de espera exponencial.
Consola
- En la Trusted Cloud consola, ve a la página Crear cuenta de servicio.
- Selecciona un Trusted Cloud proyecto.
- Escribe el nombre de la cuenta de servicio, que será el que se muestre en la Trusted Cloud consola.
La consola Trusted Cloud genera un ID de cuenta de servicio basado en este nombre. Edita el ID si es necesario. No podrás cambiarlo más adelante.
- Opcional: Escribe una descripción de la cuenta de servicio.
- Si no quieres configurar los controles de acceso ahora, haz clic en Hecho para terminar de crear la cuenta de servicio. Para configurar los controles de acceso ahora, haga clic en Crear y continuar y siga con el paso siguiente.
- Opcional: Elige uno o varios roles de gestión de identidades y accesos que quieras asignar a la cuenta de servicio en el proyecto.
- Cuando hayas terminado de añadir roles, haz clic en Continuar.
- Opcional: En el campo Rol de usuarios de la cuenta de servicio, añade los miembros que necesiten asociar la cuenta de servicio a otros recursos.
- Opcional: En el campo Rol de administradores de la cuenta de servicio, añade los miembros que necesiten gestionar la cuenta de servicio.
- Haz clic en Hecho para terminar de crear la cuenta de servicio.
gcloud
-
In the Trusted Cloud console, activate Cloud Shell.
At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
Para crear la cuenta de servicio, ejecuta el comando
gcloud iam service-accounts create:gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --description="DESCRIPTION" \ --display-name="DISPLAY_NAME"
Sustituye los siguientes valores:
-
SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio -
DESCRIPTION: descripción opcional de la cuenta de servicio -
DISPLAY_NAME: un nombre de cuenta de servicio que se mostrará en la consola Trusted Cloud
-
-
Opcional: Para conceder a tu cuenta de servicio un rol de gestión de identidades y accesos en tu proyecto, ejecuta el comando
gcloud projects add-iam-policy-binding:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com" \ --role="ROLE_NAME"
Sustituye los siguientes valores:
-
PROJECT_ID: el ID del proyecto -
SERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicio -
ROLE_NAME: un nombre de rol, comoroles/compute.osLogin
-
-
Opcional: Para permitir que los usuarios asocien la cuenta de servicio a otros recursos, ejecuta el comando
gcloud iam service-accounts add-iam-policy-bindingpara asignar a un usuario el rol Usuario de cuenta de servicio (roles/iam.serviceAccountUser) en la cuenta de servicio:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com \ --member="user:USER_EMAIL" \ --role="roles/iam.serviceAccountUser"
Sustituye los siguientes valores:
PROJECT_ID: el ID del proyectoSERVICE_ACCOUNT_NAME: el nombre de la cuenta de servicioUSER_EMAIL: la dirección de correo del usuario
PROJECT_ID: tu ID de proyecto. Trusted Cloud Los IDs de proyecto son cadenas alfanuméricas, comomy-project.SA_NAME: ID alfanumérico de tu cuenta de servicio. El nombre debe tener entre 6 y 30 caracteres, y puede contener caracteres alfanuméricos en minúscula y guiones.SA_DESCRIPTION: opcional. Una descripción de la cuenta de servicio.SA_DISPLAY_NAME: nombre legible para humanos de la cuenta de servicio.
C++
Para saber cómo instalar y usar la biblioteca de cliente de IAM, consulta Bibliotecas de cliente de IAM. Para obtener más información, consulta la documentación de referencia de la API C++ de gestión de identidades y accesos.
Para autenticarte en IAM, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta la sección Antes de empezar.
Antes de ejecutar los ejemplos de código, asigna el valor
s3nsapis.fra la variable de entornoGOOGLE_CLOUD_UNIVERSE_DOMAIN.C#
Para saber cómo instalar y usar la biblioteca de cliente de IAM, consulta Bibliotecas de cliente de IAM. Para obtener más información, consulta la documentación de referencia de la API C# de gestión de identidades y accesos.
Para autenticarte en IAM, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta la sección Antes de empezar.
Antes de ejecutar los ejemplos de código, asigna el valor
s3nsapis.fra la variable de entornoGOOGLE_CLOUD_UNIVERSE_DOMAIN.Go
Para saber cómo instalar y usar la biblioteca de cliente de IAM, consulta Bibliotecas de cliente de IAM. Para obtener más información, consulta la documentación de referencia de la API Go de gestión de identidades y accesos.
Para autenticarte en IAM, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta la sección Antes de empezar.
Antes de ejecutar los ejemplos de código, asigna el valor
s3nsapis.fra la variable de entornoGOOGLE_CLOUD_UNIVERSE_DOMAIN.Java
Para saber cómo instalar y usar la biblioteca de cliente de IAM, consulta Bibliotecas de cliente de IAM. Para obtener más información, consulta la documentación de referencia de la API Java de gestión de identidades y accesos.
Para autenticarte en IAM, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta la sección Antes de empezar.
Antes de ejecutar los ejemplos de código, asigna el valor
s3nsapis.fra la variable de entornoGOOGLE_CLOUD_UNIVERSE_DOMAIN.Python
Para saber cómo instalar y usar la biblioteca de cliente de IAM, consulta Bibliotecas de cliente de IAM. Para obtener más información, consulta la documentación de referencia de la API Python de gestión de identidades y accesos.
Para autenticarte en IAM, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta la sección Antes de empezar.
Antes de ejecutar los ejemplos de código, asigna el valor
s3nsapis.fra la variable de entornoGOOGLE_CLOUD_UNIVERSE_DOMAIN.REST
El método
serviceAccounts.createcrea una cuenta de servicio.Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
Método HTTP y URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts
Cuerpo JSON de la solicitud:
{ "accountId": "SA_NAME", "serviceAccount": { "description": "SA_DESCRIPTION", "displayName": "SA_DISPLAY_NAME" } }Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{ "name": "projects/my-project/serviceAccounts/my-service-account@my-project.s3ns-system.iam.gserviceaccount.com", "projectId": "my-project", "uniqueId": "123456789012345678901", "email": "my-service-account@my-project.s3ns-system.iam.gserviceaccount.com", "displayName": "My service account", "etag": "BwUp3rVlzes=", "description": "A service account for running jobs in my project", "oauth2ClientId": "987654321098765432109" }Después de crear una cuenta de servicio, concédele uno o varios roles para que pueda actuar en tu nombre.
Además, si la cuenta de servicio necesita acceder a recursos de otros proyectos, normalmente debes habilitar las APIs de esos recursos en el proyecto en el que has creado la cuenta de servicio.
Siguientes pasos
- Consulta cómo listar y editar cuentas de servicio.
- Consulta el proceso para conceder roles de gestión de identidades y accesos a todos los tipos de principales, incluidas las cuentas de servicio.
- Consulta cómo asignar cuentas de servicio a recursos.
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-08-20 (UTC).
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Me falta la información que necesito","missingTheInformationINeed","thumb-down"],["Es demasiado complicado o hay demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Está obsoleto","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema de muestras o código","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-20 (UTC)."],[[["This document guides users through creating service accounts using the IAM API, Google Cloud console, and the `gcloud` command-line tool, offering various methods to suit different development environments."],["Each Google Cloud project can support up to 100 service accounts by default, but the ability to request a quota increase is provided for those who need more."],["Creating a service account involves providing an alphanumeric ID, an optional description, and a display name, and it is important to note that the service account ID cannot be changed once it is set."],["Before using the service account, a delay of 60 seconds or more may be required due to the eventual consistency of read operations, and a retry with exponential backoff can be used if encountering errors immediately after creation."],["To create a service account you need to have the Create Service Accounts role granted to you, and to grant access to the service accounts to other users, you will also need the Project IAM admin role."]]],[]]