Menghubungkan menggunakan akun layanan

Dokumen ini menjelaskan cara menggunakan akun layanan untuk terhubung ke instance virtual machine (VM) Compute Engine menggunakan SSH. Dengan menyiapkan SSH untuk akun layanan, Anda dapat mengonfigurasi aplikasi untuk menggunakan SSH, yang dapat membantu Anda mengotomatiskan beban kerja.

Sebelum memulai

Membuat akun layanan
Siapkan autentikasi, jika Anda belum melakukannya. Autentikasi adalah proses verifikasi identitas Anda untuk akses ke layanan dan API Google Cloud. Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke Compute Engine sebagai berikut.
1. Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
```
gcloud init
```
  Catatan: Jika Anda telah menginstal gcloud CLI sebelumnya, pastikan Anda memiliki versi baru dengan menjalankan gcloud components update.
2. Menetapkan region dan zona default.

Terhubung ke VM sebagai akun layanan secara manual

Untuk terhubung ke VM sebagai akun layanan, gunakan salah satu metode berikut:

Langsung meniru identitas akun layanan

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus memiliki izin berikut:

Semua izin yang disertakan dalam peran Service Account Token Creator (roles/iam.serviceAccountTokenCreator), pada akun layanan. Untuk mengetahui detail tentang cara memberikan peran ini di satu akun layanan, lihat Mengelola akses ke akun layanan.
Jika menggunakan Login OS, Anda memerlukan semua izin yang menyertakan salah satu peran IAM Login OS pada akun layanan.
Jika Anda tidak menggunakan Login OS, akun layanan juga memerlukan izin compute.projects.setCommonInstanceMetadata.

Gunakan flag --impersonate-service-account gcloud CLI untuk terhubung langsung ke VM menggunakan identitas akun layanan. Jalankan perintah berikut untuk terhubung ke VM sebagai akun layanan:

gcloud compute ssh VM_NAME \
    --impersonate-service-account=SERVICE_ACCOUNT_EMAIL

Ganti kode berikut:

VM_NAME: nama VM yang ingin Anda hubungkan ke akun layanan.
SERVICE_ACCOUNT_EMAIL: alamat email yang terkait dengan akun layanan.

Meniru identitas akun layanan dari VM

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus memiliki izin berikut:

Semua izin yang disertakan dalam peran Service Account User (roles/iam.serviceAccountUser) di akun layanan dan akun pengguna Anda. Untuk mengetahui detail tentang cara memberikan peran ini di satu akun layanan, lihat Mengelola akses ke akun layanan.
Jika menggunakan Login OS, Anda memerlukan semua izin yang menyertakan salah satu peran IAM Login OS pada akun layanan dan akun pengguna Anda.
Jika tidak menggunakan Login OS, Anda juga memerlukan izin compute.projects.setCommonInstanceMetadata di akun layanan dan akun pengguna Anda.

Anda juga harus menetapkan akun layanan ke VM dan menetapkan cakupan akses cloud-platform pada VM.

Tiru identitas akun layanan dari VM lain dengan melakukan hal berikut:

Hubungkan ke VM yang berjalan sebagai akun layanan.
Dari VM yang berjalan sebagai akun layanan, hubungkan ke VM lain menggunakan metode yang sama.

Catatan: Upaya koneksi yang dilakukan dari dalam VM yang berjalan sebagai akun layanan menggunakan identitas akun layanan.

Langkah selanjutnya

Pelajari cara mengonfigurasi aplikasi untuk menggunakan SSH.
Pelajari lebih lanjut cara kerja koneksi SSH di Compute Engine, termasuk penyimpanan dan konfigurasi kunci SSH.