Embedded Files
Guía: Creación de Credenciales para Google Cloud Storage
Guía: Creación de Credenciales para Google Cloud Storage
Cuando una aplicación necesita acceder a tus archivos en Google Cloud Storage (GCS), no debe usar tu usuario y contraseña personal. Para eso se utiliza un sistema de credenciales seguras. El proceso consiste en crear una "identidad" para tu aplicación y luego darle permisos específicos.
A continuación, se detallan los conceptos clave y el flujo de trabajo general.
1. La "Identidad" de tu Aplicación: Cuentas de Servicio
1. La "Identidad" de tu Aplicación: Cuentas de Servicio
Antes de crear la credencial (la "llave"), debes crear la identidad que la usará. En Google Cloud, esto se llama una Cuenta de Servicio (Service Account).
Piensa en esto como un "usuario robot" que solo representa a tu aplicación. Esto se crea desde la consola de Google Cloud, generalmente en la sección de "IAM y Administración".
2. Asignar Permisos: ¿Qué puede hacer?
2. Asignar Permisos: ¿Qué puede hacer?
Una vez creada la cuenta de servicio, debes responder: ¿qué permisos tendrá? Esto se gestiona asignándole Roles.
Un rol es un conjunto de permisos. En lugar de elegir "GStorage" y luego marcar casillas (subir, borrar), seleccionas roles predefinidos que ya agrupan esos permisos. Por ejemplo:
Storage Object Viewer (Visor de objetos): Solo puede leer y descargar archivos.
Storage Object Creator (Creador de objetos): Puede subir nuevos archivos.
Storage Object Admin (Administrador de objetos): Tiene control total sobre los archivos (leer, subir, borrar, sobrescribir).
Tal como mencionas, la mejor práctica es crear credenciales con los mínimos privilegios necesarios. Es una excelente idea tener una cuenta de servicio separada (y por lo tanto, una credencial distinta) que tu aplicación interna usa para subir archivos (con rol de Creador o Admin), y otra cuenta mucho más limitada que solo pueda consultar archivos (con rol de Visor) para exponerlos al público o a un sistema externo.
3. Limitar el Alcance: ¿Dónde lo puede hacer?
3. Limitar el Alcance: ¿Dónde lo puede hacer?
Este es un punto de seguridad crítico. Al asignar un rol (como "Visor de objetos") a tu cuenta de servicio, la consola te preguntará dónde aplica ese permiso.
A nivel de Proyecto: La credencial tendría acceso a todos los buckets del proyecto.
A nivel de Bucket: (Recomendado) Puedes especificar que esa cuenta de servicio solo puede leer archivos de un "bucket" específico.
De esta forma, si la credencial se viera comprometida, el daño estaría contenido únicamente en ese bucket y no en todo tu proyecto.
4. Generar la Credencial (La "Llave")
4. Generar la Credencial (La "Llave")
Una vez que tienes tu cuenta de servicio creada y con los roles correctamente asignados (ej. "Visor de Objetos" en "mi-bucket-especifico"), el último paso es generar la credencial.
En la gestión de esa cuenta de servicio, encontrarás una opción para "Crear Clave" (Create Key). Generalmente elegirás el formato JSON. Esto descargará un archivo: esa es tu credencial.
Este archivo JSON contiene toda la información privada que tu aplicación usará para autenticarse. Trátalo como una contraseña: no lo compartas públicamente y guárdalo de forma segura en la configuración de tu aplicación.
Page updated
Google Sites
Report abuse