Como profesional de la nube, puede que ya conozcas la arquitectura de Identity and Access Management (IAM) de AWS y tengas experiencia siguiendo algunas de sus prácticas recomendadas. Respecto a IAM, algunas de las preocupaciones generales son las siguientes:

• ¿Cuáles son las mejores maneras de administrar el acceso a los recursos?
• ¿Cómo se les puede otorgar a los usuarios acceso solo a los recursos que de verdad necesitan?

En AWS, tu organización utiliza una combinación de usuarios y roles de IAM con políticas adjuntas para controlar el acceso a las diferentes cuentas de AWS configuradas, tanto de manera programática (a través de Cloud Shell y la CLI de AWS) como con la interfaz web gráfica de AWS (la consola de administración de AWS).

Cuando comenzaste en AWS, te proporcionamos un usuario raíz para la cuenta, que tiene acceso a todos tus recursos y parámetros de configuración y, por esta razón, no es una buena opción para las actividades diarias. Luego, creaste grupos de usuario de IAM con diferentes políticas adjuntas que determinaron sus niveles de permisos y sus tipos de credenciales:

• Usuario y contraseña para el acceso a la consola de administración
• Par de claves de acceso para acceso programático

Para complementar la configuración de seguridad de tu cuenta, tu organización utiliza roles de IAM para proporcionar credenciales temporales y un conjunto diferente de permisos para los usuarios según sea necesario. Además, los usuarios federados tienen acceso temporal a tus servicios de AWS y tienen autorización para proporcionar acceso a las personas que trabajan con tus servicios de AWS sin exigir credenciales de AWS.

Ahora, exploremos cómo implementar el control de Identity and Access Management en Google Cloud.

Descripción general

En este lab, aprenderás a usar el rol Usuario de cuenta de servicio y cómo otorgar roles.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Usar IAM para implementar el control de acceso
• Restringir el acceso a funciones o recursos específicos
• Utilizar el rol Usuario de cuenta de servicio

Configuración del lab

En cada lab, recibirás un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Haz clic en el botón Comenzar lab. Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • El botón Abrir la consola de Google Cloud
   • El tiempo restante
   • Las credenciales temporales que debes usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

   El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordena las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

   {{{user_0.username | "Username"}}}

   También puedes encontrar el nombre de usuario en el panel Detalles del lab.

4. Haz clic en Siguiente.

5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

   {{{user_0.password | "Password"}}}

   También puedes encontrar la contraseña en el panel Detalles del lab.

6. Haz clic en Siguiente.

   Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud para este lab podría generar cargos adicionales.

7. Haga clic para avanzar por las páginas siguientes:

   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para ver un menú con una lista de productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda o escribe el nombre del servicio o producto en el campo Búsqueda.

Tarea 1. Configuración de dos usuarios

Accede a la consola de Cloud como el primer usuario

1. Este lab te aprovisiona con dos nombres de usuario disponibles en el diálogo Detalles de la conexión. Accede a la consola de Cloud desde una ventana de incógnito, como de costumbre, con el usuario Username 1 proporcionado por Qwiklabs. Ten presente que ambos nombres de usuario utilizan la misma contraseña.

Accede a la consola de Cloud como el segundo usuario

1. Abre otra pestaña en tu ventana de incógnito.
2. Accede a console.cloud.google.com.
3. Haz clic en el ícono de usuario que se encuentra en la esquina superior derecha de la pantalla y luego en Agregar cuenta.
4. Accede a la consola de Cloud con el usuario Username 2 proporcionado por Qwiklabs.

Nota: En algunos puntos de este lab, si sales de la cuenta de Username 1, Qwiklabs borrará la cuenta de Username 2. Por lo tanto, permanece en la cuenta de Username 1 hasta que termines de usar la cuenta de Username 2.

Tarea 2. Explora la consola de IAM

Asegúrate de estar en la pestaña de Username 1 en la consola de Cloud.

Navega a la consola de IAM y explora los roles

1. En el menú de navegación (), haz clic en IAM y administración > IAM.
2. Haz clic en Otorgar acceso y explora los roles del menú desplegable. Para conocer los distintos roles relacionados con cada recurso, navega por el menú Roles.
3. Haz clic en CANCELAR.
4. Abre la pestaña correspondiente a Username 2 en la consola de Cloud.
5. En el menú de navegación (), haz clic en IAM y administración > IAM. Explora la lista de las líneas con los nombres asociados a Username 1 y Username 2 en el diálogo Detalles de la conexión de Qwiklabs.

Nota: Username 2 tiene acceso al proyecto, pero no posee el rol Propietario del proyecto, por lo que no puede editar ninguno de los roles. Coloca el cursor sobre el ícono de lápiz de Username 2 para verificarlo.

6. Vuelve a la pestaña correspondiente a Username 1 en la consola de Cloud.
7. En la consola de IAM, haz clic en el ícono de lápiz de Username 2. En este punto, Username 2 tiene el rol Visualizador. No cambies el campo Rol en el proyecto.
8. Haz clic en CANCELAR.

Tarea 3. Prepara un recurso para probar el acceso

Crea un bucket y sube un archivo de muestra

1. Ve a la pestaña correspondiente a Username 1 en la consola de Cloud si aún no te encuentras allí.

2. En el menú de navegación (), haz clic en Cloud Storage > Buckets.

3. Haz clic en Crear bucket.

4. Especifica lo siguiente y deja los parámetros de configuración restantes con sus valores predeterminados:

Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
Nombre	Ingresa un nombre único a nivel global
Tipo de ubicación	Multirregión

Nota: Registra el nombre del bucket, lo utilizarás en un paso posterior y se denominará [YOUR_BUCKET_NAME].

5. Haz clic en CREAR.

Nota: Si ves la indicación Se impedirá el acceso público y está marcada la opción Aplicar la prevención de acceso público a este bucket, haz clic en Confirmar.

6. Haz clic en SUBIR ARCHIVOS.
7. Sube algún archivo de muestra desde tu computadora local.
8. Una vez que se suba el archivo, haz clic en los tres puntos ubicados al final de la línea que contiene el archivo y, luego, en Cambiar nombre.
9. Cambia el nombre del archivo a sample.txt y haz clic en CAMBIAR NOMBRE.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear un bucket y subir un archivo de muestra

Verifica el acceso de visualizador de proyectos

1. Abre la pestaña correspondiente a Username 2 en la consola de Cloud.

2. En la consola, ve al menú de navegación > Cloud Storage > Buckets.

3. Verifica que Username 2 pueda visualizar el bucket.

Tarea 4. Quita el acceso al proyecto

Quita el rol Visualizador de proyectos para Username 2

1. Abre la pestaña correspondiente a Username 1 en la consola de Cloud.
2. En el menú de navegación (), haz clic en IAM y administración > IAM.
3. Selecciona Username 2 y haz clic en Quitar acceso.

Nota: Verifica que estés quitando el acceso de Username 2. Si quitas el acceso de Username 1 por error, deberás volver a comenzar este lab.

4. Haz clic en CONFIRMAR.

Podrás ver que el usuario desapareció de la lista, por lo que ya no tiene acceso.

Haz clic en Revisar mi progreso para verificar el objetivo. Quitar el acceso al proyecto

Verifica que Username 2 ya no tenga acceso

1. Abre la pestaña correspondiente a Username 2 en la consola de Cloud.

2. En el menú de navegación (), haz clic en Descripción general de Cloud > Panel.

3. En el menú de navegación (), haz clic en Cloud Storage > Buckets. Se mostrará un error. De lo contrario, actualiza la página. Username 2 aún tiene una cuenta de Google Cloud, pero no tiene acceso al proyecto.

Tarea 5: Agrega acceso al almacenamiento

Agrega permisos de almacenamiento

1. Copia el valor de Username 2 que aparece en el diálogo Detalles de la conexión de Qwiklabs.
2. Abre la pestaña correspondiente a Username 1 en la consola de Cloud.
3. En el menú de navegación (), haz clic en IAM y administración > IAM.
4. Haz clic en Otorgar acceso para agregar el usuario.
5. En Principales nuevas, pega el valor de Username 2 que copiaste del diálogo Detalles de la conexión de Qwiklabs.
6. En Selecciona un rol, elige Cloud Storage > Visualizador de objetos de Storage.
7. Haz clic en GUARDAR.

Haz clic en Revisar mi progreso para verificar el objetivo. Agregar permisos de almacenamiento

Verifica que Username 2 tenga acceso al almacenamiento

1. Abre la pestaña correspondiente a Username 2 en la consola de Cloud.

Nota: Username 2 no tiene el rol Visualizador de proyectos, por lo que el usuario no puede ver el proyecto ni ninguno de sus recursos en la consola. Sin embargo, este usuario tiene acceso específico a Cloud Storage.

2. Para iniciar Cloud Shell, haz clic en Activar Cloud Shell (). Si se te solicita, haz clic en Continuar.
3. Para ver el contenido del bucket creado anteriormente, ejecuta el siguiente comando y reemplaza [YOUR_BUCKET_NAME] por el nombre único del bucket de Cloud Storage que creaste:

gcloud storage ls gs://[YOUR_BUCKET_NAME]

Como puedes ver, Username 2 tiene acceso limitado a Cloud Storage.

4. Cierra la pestaña correspondiente a Username 2 en la consola de Cloud. El resto del lab se lleva a cabo en la pestaña correspondiente a Username 1 en la consola de Cloud.
5. Abre la pestaña correspondiente a Username 1 en la consola de Cloud.

Tarea 6. Configura el usuario de la cuenta de servicio

En esta parte del lab, asignarás permisos limitados a las cuentas de servicio y aprenderás a utilizar el rol Usuario de cuenta de servicio.

Crea una cuenta de servicio

1. En el menú de navegación (), haz clic en IAM y administración > Cuentas de servicio.
2. Haz clic en + CREAR CUENTA DE SERVICIO.
3. Especifica el Nombre de la cuenta de servicio como read-bucket-objects.
4. Haz clic en CREAR Y CONTINUAR.
5. En Selecciona un rol, selecciona Cloud Storage > Visualizador de objetos de Storage.
6. Haz clic en CONTINUAR.
7. Haz clic en LISTO.

Agrega el usuario a la cuenta de servicio

1. Selecciona la cuenta de servicio read-bucket-objects.
2. Haz clic en los tres puntos que se encuentran a la derecha del nombre de la cuenta de servicio. Luego, haz clic en Administrar permisos.

Nota: Concederás al usuario el rol Usuario de cuenta de servicio, que le permite a esa persona utilizar una cuenta de servicio en una VM, si tiene acceso a ella. Puedes realizar esa actividad para un usuario, grupo o dominio específicos. Para la capacitación, otorgarás el rol Usuario de cuenta de servicio a todo el personal de Altostrat.com, una empresa falsa utilizada con fines demostrativos y de capacitación.

3. Haz clic en el botón OTORGAR ACCESO. Especifica lo siguiente y deja los parámetros de configuración restantes con sus valores predeterminados:

Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
Principales nuevas	altostrat.com
Rol	Cuentas de servicio > Usuario de cuenta de servicio

4. Haz clic en GUARDAR.

Otorga acceso a Compute Engine

Ahora, le otorgarás a toda la organización de Altostrat el rol de administrador de Compute Engine.

1. En el menú de navegación (), haz clic en IAM y administración > IAM.
2. Haz clic en Otorgar acceso.
3. Especifica lo siguiente y deja los parámetros de configuración restantes con sus valores predeterminados:

Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
Principales nuevas	altostrat.com
Selecciona un rol	Compute Engine > Administrador de instancias de Compute (v1)

4. Haz clic en GUARDAR.

Nota: Este paso es una práctica de la actividad que realizarías para un usuario específico. Esta acción le otorga al usuario capacidades limitadas con una instancia de VM. El usuario podrá conectarse a través de SSH a una VM y realizar algunas tareas de administración.

Crea una VM con el usuario de cuenta de servicio

1. En el menú de navegación (), haz clic en Compute Engine > Instancias de VM.
2. Haz clic en CREAR INSTANCIA.
3. Especifica lo siguiente y deja los parámetros de configuración restantes con sus valores predeterminados:

Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
Nombre	demoiam
Región
Zona
Serie	E2
Tipo de máquina	e2-micro (2 CPUs virtuales, 1 GB de memoria)
Disco de arranque	Debian GNU/Linux 11 (bullseye)
Cuenta de servicio	read-bucket-objects
Permisos de acceso	Configurar acceso para cada API
Almacenamiento	Lectura/escritura

4. Haz clic en Crear.

Haz clic en Revisar mi progreso para verificar el objetivo. Configurar el Usuario de cuenta de servicio y crear una VM

Tarea 7. Explora el rol Usuario de cuenta de servicio

En este punto, puedes hacer que el usuario pruebe el acceso conectándose a través de SSH a la VM y realizando las siguientes acciones. Como propietario del proyecto, ya posees el rol Usuario de cuenta de servicio. Por lo tanto, puedes simular la experiencia del usuario si utilizas SSH para acceder a la VM desde la consola de Cloud.

Las acciones que realices y los resultados serán los mismos que si fueras el usuario objetivo.

Utiliza el rol Usuario de cuenta de servicio

1. En demoiam, haz clic en SSH para iniciar una terminal y conectarte.
2. Ejecuta el siguiente comando:

gcloud compute instances list

Resultado (ejemplo):

ERROR: (gcloud.compute.instances.list) Some requests did not succeed: - Required 'compute.zones.list' permission for 'projects/qwiklabs-gcp'

¿Qué pasó? ¿Por qué?

3. Copia el archivo sample.txt del bucket que creaste antes. Ten en cuenta que el punto final es parte del siguiente comando. Significa copiar en "esta ubicación":

gcloud storage cp gs://[YOUR_BUCKET_NAME]/sample.txt .

Resultado (ejemplo):

Copying gs://train-test-iam/sample.txt... / [1 files][ 28.0 B/ 28.0 B] Operation completed over 1 objects/28.0 B.

4. Para cambiar el nombre del archivo que copiaste, ejecuta el siguiente comando:

mv sample.txt sample2.txt

5. Para volver a copiar el archivo al que le cambiaste el nombre en el bucket, ejecuta el siguiente comando:

gcloud storage cp sample2.txt gs://[YOUR_BUCKET_NAME]

Resultado (ejemplo):

AccessDeniedException: 403 Caller does not have storage.objects.create access to bucket train-test-iam. Nota: ¿Qué ocurrió? Dado que te conectaste a la instancia a través de SSH, puedes actuar como la cuenta de servicio, usando esencialmente los mismos permisos. La cuenta de servicio con la que se inició la instancia tenía el rol de visualizador de Storage, que permite descargar objetos de buckets de GCS en el proyecto. Para enumerar instancias en un proyecto, debes otorgar el permiso compute.instance.list. Dado que la cuenta de servicio no tenía ese permiso, no se pudo mostrar la lista de instancias que se estaban ejecutando en el proyecto. Como la cuenta de servicio sí tenía permiso para descargar objetos, pudo descargar un objeto del bucket. No tenía permiso para escribir objetos, por lo que recibiste el mensaje 403 acceso denegado.

6. En el menú de navegación (), haz clic en IAM y administración > IAM.
7. Busca en la lista las líneas con read-bucket-objects y haz clic en el ícono de lápiz. read-bucket-objects actualmente tiene el rol de Visualizador de objetos de Storage. Cambia el Rol por Cloud Storage > Creador de objetos de Storage.
8. Haz clic en Guardar.
9. Regresa a la ventana SSH de demoiam.
10. Para volver a copiar el archivo al que le cambiaste el nombre en el bucket, ejecuta el siguiente comando:

gcloud storage cp sample2.txt gs://[YOUR_BUCKET_NAME]

Esta vez, el comando se ejecutará de forma correcta, ya que la cuenta de servicio tiene los permisos correctos.

Tarea 8: Repaso

En este lab, tuviste que otorgar y revocar roles de IAM, primero a un usuario, Username 2 y, luego, a un Usuario de cuenta de servicio. Pudiste asignar credenciales de Usuario de cuenta de servicio y "agregarlas" a una VM para crear hosts de bastión autorizados con un propósito específico.

Resumen

Existen muchas similitudes entre Google Cloud y AWS en lo que respecta a la seguridad, empezando por la herramienta principal para el control de acceso: Identity and Access Management (IAM).

Tanto en AWS como en Google Cloud, IAM es un servicio web que puede ayudarte a controlar de forma segura el acceso a diferentes servicios y recursos. Puedes usar esta herramienta para administrar la autenticación (¿Quién tiene acceso?) y la autorización (¿Qué puede hacer?). También puedes crear y administrar diferentes principales, como las siguientes:

• Usuarios
• Roles
• Políticas

Con IAM, es importante entender por completo el alcance de los permisos que estás asignando.

En AWS, se utiliza una jerarquía de recursos que puede incluir lo siguiente:

• Una raíz de organización
• Unidades organizativas que pueden anidarse
• Cuentas
• Recursos

En Google Cloud, tu jerarquía puede verse de la siguiente manera:

• Organización
• Carpetas que pueden anidarse
• Proyectos
• Recursos

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2020 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.