Cuenta prestaciones de servicios

Inicio de sesión interactivo de la cuenta de servicio

Principio de mínimo privilegioEl principio de mínimo privilegio consiste en dar al usuario sólo la cantidad mínima de acceso requerida. Por ejemplo, si un usuario sólo necesita acceder a ciertos archivos, sólo debería tener acceso a esos archivos. Si el usuario sólo necesita acceder a ciertos servidores o estaciones de trabajo, sólo debería tener acceso a ellos. La ventaja de esto es que se minimiza la cantidad de daño que se puede hacer si la cuenta de usuario se ve afectada. Cuando se utiliza con cuentas de servicio, debe crearse una cuenta de servicio para cada servicio o aplicación. Si la misma cuenta de servicio se comparte entre servicios y aplicaciones, y esta cuenta de servicio dejara de funcionar (por ejemplo, la cuenta se bloqueara), todo el software que utilice esta cuenta de servicio se vería afectado.

Utilizar la misma cuenta de usuario para varios serviciosAlgunos administradores deciden ejecutar varios servicios y aplicaciones utilizando la misma cuenta de usuario. Para asegurarse de que no haya problemas al ejecutar su software, algunos administradores utilizarán una cuenta de usuario que tenga acceso de administrador de dominio. Si utiliza la misma cuenta de usuario para varios programas, y la cuenta de usuario falla por cualquier motivo, todo el software que utilice esa cuenta de servicio también se verá afectado. Además, si la cuenta se viera comprometida, esta cuenta de servicio podría utilizarse para acceder a los recursos de la red. Cuanto más acceso tenga la cuenta de servicio, mayor será el daño potencial que pueda causar. La cuenta de servicio podría impedir que las aplicaciones y servicios que la utilizan se ejecuten simplemente cambiando la contraseña de la cuenta.

Cuenta de servicio de red

Las cuentas de servicio suelen utilizarse en los sistemas operativos para ejecutar aplicaciones o programas, ya sea en el contexto de las cuentas del sistema (cuentas con altos privilegios sin contraseña) o de una cuenta de usuario específica, normalmente creada manualmente o durante la instalación del software.    En Unix y Linux suelen conocerse como init o inetd, y también pueden lanzar programas.

La gestión de las cuentas de servicio es una tarea que con demasiada frecuencia se pasa por alto, ya que las cuentas pueden ser un dolor de cabeza para las organizaciones. Especialmente a través de múltiples cuentas para diferentes servicios, tareas y otras aplicaciones, y de forma sincronizada: es una tarea que consume tiempo y es propensa a errores cuando se hace manualmente. La gestión de las contraseñas de las cuentas de servicio es otro reto: los administradores no pueden cambiar con seguridad la contraseña de una cuenta de servicio si no saben dónde se utiliza sin riesgo de hacer caer otras aplicaciones.

A menudo, en las instalaciones de software, la contraseña de las cuentas de servicio sigue siendo la contraseña por defecto del proveedor (que se encuentra fácilmente en Internet) o está en la memoria del consultor que instaló el software.

Crear una cuenta de servicio

La cuenta que utilice para la cuenta de servicio Ejecutar como no debe ser un miembro de la cuenta Administradores locales o Administradores de dominio. En su lugar, recomendamos utilizar una cuenta de usuario de dominio que no sea un administrador para la cuenta de servicio Ejecutar como. Utilizar una cuenta de dominio que no sea miembro de estos grupos de administradores es una buena práctica de seguridad y puede ayudar a evitar el acceso a determinadas fuentes de datos y carpetas. Para obtener información sobre las prácticas recomendadas al crear una cuenta de servicio Ejecutar como, consulte Creación de la cuenta de servicio Ejecutar como.

Para cambiar una cuenta de servicio Ejecutar como existente en el dominio por una cuenta diferente, debes aplicar los permisos a esa nueva cuenta. Para aplicar los permisos a la nueva cuenta del servicio Ejecutar como, primero debe restablecer los permisos aplicándolos a la cuenta predeterminada de NetworkService.

Antes de comenzar, compruebe que la nueva cuenta que va a utilizar para la cuenta de servicio de ejecución como cumple con las prácticas recomendadas indicadas anteriormente en la sección Creación de la cuenta de servicio de ejecución como.

Cuenta de servicio gcp

Configurar cuentas de servicio para PodsUna cuenta de servicio proporciona una identidad para los procesos que se ejecutan en un Pod.Nota: Este documento es una introducción del usuario a las cuentas de servicio y describe cómo se comportan las cuentas de servicio en una configuración de clúster.

La especificación del pod tiene prioridad sobre la cuenta de servicio si ambas especifican un valor automountServiceAccountToken.Use Multiple Service Accounts.Cada espacio de nombres tiene un recurso de cuenta de servicio por defecto llamado default.

Entonces verá que se ha creado automáticamente un token al que hace referencia la cuenta de servicio.Puede utilizar plugins de autorización para establecer permisos en las cuentas de servicio.Para utilizar una cuenta de servicio no predeterminada, establezca el campo spec.serviceAccountName

de un pod con el nombre de la cuenta de servicio que desee utilizar.La cuenta de servicio tiene que existir en el momento de la creación del pod, o será rechazada.No puede actualizar la cuenta de servicio de un pod ya creado.Puede limpiar la cuenta de servicio de este ejemplo así:kubectl delete serviceaccount/build-robot