選擇存取方式

如果您在 Google Cloud上執行 Linux 虛擬機器 (VM) 執行個體,可能需要共用或限制對 VM 的使用者或應用程式存取權。

管理使用者存取權

OS 登入

在大多數情況下,我們建議您使用 OS 登入。OS 登入功能可讓您使用 Compute Engine 身分與存取權管理角色來管理 Linux 執行個體的安全殼層存取權。您可以搭配雙重驗證設定 OS 登入,並設定機構政策來管理機構層級的存取權,藉此多添加一層安全防護。

如要瞭解如何啟用 OS 登入,請參閱「設定 OS 登入」。

管理中繼資料中的安全殼層金鑰

如果您是透過執行自己的目錄來管理存取權,或因故無法設定 OS 登入,您可以手動管理中繼資料中的安全殼層金鑰。

手動管理金鑰的風險

手動管理 SSH 金鑰可能會面臨以下風險:

  • 所有使用中繼資料中儲存的 SSH 金鑰連線至 VM 的使用者,都擁有 VM 的 sudo 存取權。
  • 您必須追蹤已過期的金鑰,並刪除不應存取 VM 的使用者金鑰。舉例來說,如果團隊成員離開您的專案,您必須手動從中繼資料中移除他們的金鑰,以免他們繼續存取您的 VM。
  • 指定 gcloud CLI 或 API 呼叫不正確,可能會清除專案或 VM 中的所有公開 SSH 金鑰,造成專案成員的連線中斷。
  • 具備修改專案中繼資料能力的使用者和服務帳戶,可以為專案中的所有 VM 新增 SSH 金鑰,但不適用於封鎖專案層級 SSH 金鑰的 VM。

如果您不確定是否要管理自己的金鑰,請改為使用 Compute Engine 工具連線至您的執行個體

後續步驟