Si tiene instancias de máquina virtual (VM) de Linux ejecutándose en Google Cloud, es posible que deba compartir o restringir el acceso de usuarios o aplicaciones a sus máquinas virtuales.
Si necesita administrar el acceso de los usuarios a sus instancias de VM Linux, puede utilizar uno de los siguientes métodos:
Si necesita administrar el acceso de las aplicaciones a sus instancias de VM, consulte Usar SSH con cuentas de servicio .
Administrar el acceso de los usuarios
Iniciar sesión en el sistema operativo
En la mayoría de los escenarios, recomendamos utilizar el inicio de sesión en el sistema operativo . La función de inicio de sesión del sistema operativo te permite usar funciones de IAM de Compute Engine para administrar el acceso SSH a instancias de Linux. Puede agregar una capa adicional de seguridad configurando el inicio de sesión en el sistema operativo con autenticación de dos factores y administrar el acceso a nivel de la organización configurando políticas de la organización .
Para saber cómo habilitar el inicio de sesión en el sistema operativo, consulte Configurar el inicio de sesión en el sistema operativo .
Administrar claves SSH en metadatos
Si está ejecutando su propio servicio de directorio para administrar el acceso o no puede configurar el inicio de sesión en el sistema operativo, puede administrar manualmente las claves SSH en los metadatos.
Riesgos de la gestión manual de claves
Algunos de los riesgos de la gestión manual de claves SSH incluyen los siguientes:
- Todos los usuarios que se conectan a las máquinas virtuales mediante claves SSH almacenadas en metadatos tienen acceso
sudoa las máquinas virtuales. - Debe realizar un seguimiento de las claves caducadas y eliminar las claves de los usuarios que no deberían tener acceso a sus máquinas virtuales. Por ejemplo, si un miembro del equipo abandona su proyecto, debe eliminar manualmente sus claves de los metadatos para que no pueda seguir accediendo a sus máquinas virtuales.
- Especificar incorrectamente las llamadas API o CLI de gcloud puede eliminar todas las claves SSH públicas de tu proyecto o de tus VM, lo que interrumpe las conexiones de los miembros de tu proyecto.
- Los usuarios y las cuentas de servicio que tienen la capacidad de modificar los metadatos del proyecto pueden agregar claves SSH para todas las máquinas virtuales del proyecto, excepto las máquinas virtuales que bloquean las claves SSH a nivel de proyecto .
Si no estás seguro de querer administrar tus propias claves, usa las herramientas de Compute Engine para conectarte a tus instancias .
¿Qué sigue?
- Aprenda cómo configurar el inicio de sesión en el sistema operativo .
- Aprenda a crear claves SSH .
- Aprenda a agregar claves SSH a máquinas virtuales .
- Aprenda cómo restringir las claves SSH de las máquinas virtuales .