gstoragetutorial

Paso 0: (Prerrequisito) Seleccionar o Crear un Proyecto

Todo en Google Cloud vive dentro de un "Proyecto". No puedes crear nada sin uno.

1. Ve a la Consola de Google Cloud.

2. En la barra superior, verás un menú desplegable de proyectos (justo al lado del logo de "Google Cloud").

3. Si ya tienes un proyecto: Selecciónalo de la lista y continúa al Paso 1.

4. Si no tienes un proyecto:

   • Haz clic en el selector de proyectos y elige "Proyecto Nuevo".

   • Dale un Nombre de Proyecto (ej. "Mi-App-Storage").

   • Haz clic en "Crear". Espera unos segundos a que el proyecto se aprovisione y asegúrate de que esté seleccionado.

Paso 1: Navegar a "Cuentas de Servicio"

Aquí es donde crearemos la identidad "robot" para tu aplicación.

1. Abre el Menú de Navegación (el ícono de hamburguesa ☰ en la esquina superior izquierda).

2. Ve a la sección "IAM y Administración".

3. En el submenú, haz clic en "Cuentas de Servicio".

(Consejo rápido: También puedes simplemente escribir "Cuentas de Servicio" en la barra de búsqueda principal de la consola y seleccionar el resultado).

Paso 2: Crear la Cuenta de Servicio (La Identidad)

Ahora estás en el panel de "Cuentas de Servicio".

1. Haz clic en el botón "+ CREAR CUENTA DE SERVICIO" que se encuentra en la parte superior.

2. Paso 1 (Detalles):

   • Nombre de la cuenta de servicio: Escribe un nombre descriptivo para saber qué hace. (ej. mi-app-lector-gcs).

   • ID de la cuenta de servicio: Se generará automáticamente basado en el nombre (ej. mi-app-lector-gcs@tu-proyecto-id.iam.gserviceaccount.com). Déjalo como está. Este ID es su "email" único.

   • Descripción: Añade una descripción clara (ej. "Cuenta de servicio para leer archivos del bucket 'reportes-mensuales'").

3. Haz clic en "CREAR Y CONTINUAR".

Paso 3: Asignar Permisos (Roles) a la Cuenta

Esta es la parte más importante donde defines qué puede hacer esta identidad y dónde.

1. Paso 2 (Acceso): Ahora estás en la pantalla "Otorga a esta cuenta de servicio acceso al proyecto".

2. Haz clic en el campo "Selecciona un rol".

3. Aparecerá un filtro. Para encontrar roles de Google Cloud Storage (GCS), escribe "Storage" en el filtro.

4. Verás varios roles. Los más comunes son:

   • Storage Object Viewer (Visor de objetos de Storage): Solo puede leer y descargar archivos.

   • Storage Object Creator (Creador de objetos de Storage): Solo puede subir archivos nuevos. (No puede ver, sobrescribir ni borrar).

   • Storage Object Admin (Administrador de objetos de Storage): Control total sobre los archivos (leer, escribir, borrar, sobrescribir).

5. Selecciona el rol que necesitas (ej. Storage Object Viewer).

¡IMPORTANTE! Seguridad a Nivel de Bucket (Tu punto 4)

Asignar el rol aquí (a nivel de "Proyecto") le da a la credencial acceso a TODOS los buckets del proyecto. La mejor práctica, como mencionaste, es limitar el acceso a un solo bucket.

La forma más segura (Recomendada):

1. No añadas ningún rol en esta pantalla. Simplemente haz clic en "CONTINUAR" sin seleccionar un rol.

2. Haz clic en "LISTO" en el siguiente paso opcional (la consola te dirá que la creaste "sin roles a nivel de proyecto", lo cual está bien).

3. Ahora, ve al servicio de Cloud Storage desde el menú de navegación.

4. Haz clic en tu bucket específico (ej. "mi-bucket-privado").

5. Ve a la pestaña "PERMISOS".

6. Haz clic en "+ OTORGAR ACCESO".

7. En el campo "Principales nuevos", pega el ID (el "email" largo) de la cuenta de servicio que acabas de crear (ej. mi-app-lector-gcs@...).

8. En "Asignar roles", selecciona ahora sí el rol específico (ej. Storage Object Viewer).

9. Haz clic en "GUARDAR".

Ahora has creado una cuenta de servicio que solo tiene permisos para ese bucket específico, lo cual es mucho más seguro.

Paso 4: Generar la Credencial (La Clave JSON)

Ya tenemos la identidad creada y con permisos. Ahora necesitamos generar la "llave" (la contraseña) para que tu aplicación la use.

1. Vuelve al panel de "IAM y Administración" > "Cuentas de Servicio".

2. Haz clic en el nombre (o el email) de la cuenta de servicio que acabas de crear.

3. Se abrirá la página de detalles de esa cuenta. Haz clic en la pestaña "CLAVES".

4. Haz clic en el botón "AÑADIR CLAVE".

5. Selecciona "Crear nueva clave".

6. En el tipo de clave, asegúrate de que esté seleccionado JSON (es el estándar y el recomendado).

7. Haz clic en "CREAR".

Inmediatamente, tu navegador descargará un archivo .json.

¡Felicidades! Ese archivo JSON es tu credencial.

Advertencia Final de Seguridad

Trata este archivo .json descargado como si fuera la contraseña de administrador más importante que tienes.

• Es un secreto. Contiene la clave privada para autenticarse como esa cuenta de servicio.

• No lo guardes en tu código fuente, no lo subas a GitHub ni lo compartas públicamente.

• Tu aplicación deberá cargar este archivo de forma segura para poder autenticarse con Google Cloud.