Compute Engine usa la autenticación SSH basada en claves para establecer conexiones con instancias de máquina virtual (VM) de Linux y, además, admite la autenticación basada en certificados para VMs de Acceso al SO (versión preliminar). De manera opcional, puedes habilitar SSH para las VMs de Windows. De forma predeterminada, las contraseñas no están configuradas para los usuarios locales en las VMs de Linux.
Antes de que puedas conectarte a una VM, se deben realizar varias configuraciones. Si usas la consola de Google Cloud o Google Cloud CLI para conectarte a tus VMs, Compute Engine realiza estas configuraciones en tu nombre. Compute Engine realiza diferentes parámetros de configuración según la herramienta que uses para conectarte y si administras el acceso a las VMs a través de metadatos o Acceso al SO. El Acceso al SO solo está disponible para las VMs de Linux.
Conexiones SSH administradas por metadatos
De forma predeterminada,Compute Engine usa metadatos personalizados de instancias o proyectos para configurar las claves SSH y administrar el acceso SSH. Todas las VMs de Windows usan metadatos para administrar las claves SSH, mientras que las VMs de Linux pueden usar claves de metadatos o Acceso al SO. Si usas el Acceso al SO, las claves SSH de metadatos estarán inhabilitadas.Haz clic en cada pestaña para obtener más información sobre las configuraciones que Compute Engine realiza antes de otorgar conexiones SSH cuando usas la consola de Google Cloud , gcloud CLI o herramientas de terceros para conectarte a las VMs. Si te conectas a las VM sin usar la consola de Google Cloud ni gcloud CLI, debes realizar algunas configuraciones tú mismo.
Console
- Usa el botón SSH en la consola de Google Cloud para conectarte a tu VM.
- Compute Engine establece un nombre de usuario y crea un par de claves SSH efímera con la siguiente configuración:
- El nombre de usuario se define como el nombre de usuario en tu Cuenta de Google. Por ejemplo, si la dirección de correo electrónico asociada a tu Cuenta de Google es
cloudysanfrancisco@gmail.com, entonces tu nombre de usuario escloudysanfrancisco. - Tus claves SSH públicas y privadas se almacenan en la sesión de tu navegador.
- La clave SSH tiene un vencimiento de tres minutos. Tres minutos después de que Compute Engine cree la clave, ya no podrás usar la clave SSH para conectarte a la VM.
- El nombre de usuario se define como el nombre de usuario en tu Cuenta de Google. Por ejemplo, si la dirección de correo electrónico asociada a tu Cuenta de Google es
- Compute Engine autentica tu clave SSH y otorga tu conexión.
- Compute Engine sube la clave SSH pública y el nombre de usuario a los metadatos.
- Compute Engine recupera la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y la clave pública y, en las VMs de Linux, almacena la clave pública en el archivo
~/.ssh/authorized_keysdel usuario en la VM. En las VMs de Windows, Compute Engine no almacena la clave pública en la VM. - Compute Engine le otorga tu conexión.
gcloud
- Usa el comando
gcloud compute sshpara conectarte a tu VM. - Compute Engine establece un nombre de usuario y crea un par de claves SSH persistentes con las siguientes configuraciones:
- El nombre de usuario está configurado como el nombre de usuario en tu máquina local.
- Tu clave SSH pública se almacena en metadatos de proyecto. Si Compute Engine no puede almacenar la clave SSH en los metadatos del proyecto, por ejemplo, porque
block-project-ssh-keysse configura comoTRUE, Compute Engine almacena la clave SSH en los metadatos de la instancia. - La clave SSH privada se almacena en tu máquina local.
- Tu clave SSH no tiene un vencimiento. Se usa para todas las conexiones SSH futuras que realices, a menos que configures una clave nueva.
- El nombre de usuario está configurado como el nombre de usuario en tu máquina local.
- Compute Engine autentica tu clave SSH y otorga tu conexión.
- Compute Engine sube la clave SSH pública y el nombre de usuario a los metadatos.
- Compute Engine recupera la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y la clave pública y, en las VMs de Linux, almacena la clave pública en el archivo
~/.ssh/authorized_keysdel usuario en la VM. En las VMs de Windows, Compute Engine no almacena la clave pública en la VM. - Compute Engine le otorga tu conexión.
Herramientas de terceros
- Debes crear un par de claves SSH y un nombre de usuario. Consulta Crea claves SSH para obtener más detalles.
- Debes subir la clave pública y el nombre de usuario a los metadatos. Consulta Agrega claves SSH a las VM que usan claves SSH basadas en metadatos para obtener más detalles.
- Te conectarás a la VM.
- Compute Engine recupera la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y la clave pública y, en las VMs de Linux, almacena la clave pública en el archivo
~/.ssh/authorized_keysdel usuario en la VM. En las VMs de Windows, Compute Engine no almacena la clave pública en la VM. - Compute Engine le otorga tu conexión.
Conexiones SSH administradas por el acceso al SO
Cuando configuras los metadatos del Acceso al SO, Compute Engine borra los archivos
authorized_keys de la VM y ya no acepta conexiones de claves SSH almacenadas
en metadatos del proyecto o la instancia. El Acceso al SO admite conexiones de claves SSH asociadas con tu Cuenta de Google y certificados SSH (versión preliminar) firmados por la autoridad certificadora del Acceso al SO. De manera opcional, puedes requerir que el Acceso al SO solo permita conexiones con certificados SSH, como se describe en Cómo requerir certificados SSH con el Acceso al SO.
Conexiones de claves SSH
Haz clic en cada pestaña para obtener más información sobre las opciones de configuración de Compute Engine antes de que se otorguen conexiones SSH cuando usas claves SSH para conectarte a las VMs. Compute Engine realiza diferentes configuraciones según si usas la consola de Google Cloud , gcloud CLI o herramientas de terceros para conectarte a las VMs. Si te conectas con herramientas de terceros, debes realizar algunas configuraciones tú mismo.
Console
- Usa el botón SSH en la consola de Google Cloud para conectarte a tu VM.
- Compute Engine establece un nombre de usuario y crea un par de claves SSH efímera con la siguiente configuración:
- Tu nombre de usuario es el nombre de usuario que configura el administrador de Google Workspace o Cloud Identity de tu organización. Si tu organización no configuró un nombre de usuario para ti o tu proyecto no pertenece a una organización, Compute Engine usa el correo electrónico de tu Cuenta de Google con el siguiente formato:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, entonces tu nombre de usuario generado escloudysanfrancisco_gmail_com. - La clave SSH pública se almacena en tu sesión de navegador y en tu Cuenta de Google.
- Tu clave SSH privada se almacena en tu sesión de navegador.
- La clave SSH tiene un vencimiento de tres minutos. Tres minutos después de que Compute Engine cree la clave, ya no podrás usar la clave SSH para conectarte a la VM.
- Tu nombre de usuario es el nombre de usuario que configura el administrador de Google Workspace o Cloud Identity de tu organización. Si tu organización no configuró un nombre de usuario para ti o tu proyecto no pertenece a una organización, Compute Engine usa el correo electrónico de tu Cuenta de Google con el siguiente formato:
- Compute Engine autentica tu clave SSH y otorga tu conexión.
gcloud
- Usa el comando
gcloud compute sshpara conectarte a tu VM. - Compute Engine establece un nombre de usuario y crea un par de claves SSH persistentes con las siguientes configuraciones:
- Tu nombre de usuario es el nombre de usuario que configura el administrador de Google Workspace o Cloud Identity de tu organización. Si tu organización no configuró un nombre de usuario, Compute Engine usa el correo electrónico de tu Cuenta de Google con el siguiente formato:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, entonces tu nombre de usuario generado escloudysanfrancisco_gmail_com. - La clave SSH pública se almacena en tu Cuenta de Google.
- Tu clave SSH privada se almacena en tu máquina local en el archivo
google_compute_engine. - Tu clave SSH no tiene un vencimiento. Se usa para todas las conexiones SSH futuras que realices, a menos que configures una clave nueva.
- Tu nombre de usuario es el nombre de usuario que configura el administrador de Google Workspace o Cloud Identity de tu organización. Si tu organización no configuró un nombre de usuario, Compute Engine usa el correo electrónico de tu Cuenta de Google con el siguiente formato:
- Compute Engine autentica tu clave SSH y otorga tu conexión.
Herramientas de terceros
- Creas un par de claves SSH. Consulta Crea claves SSH para obtener más detalles.
- Debes subir la clave SSH pública a tu perfil de Acceso al SO. Consulta Agrega claves a las VM que usan el acceso al SO para obtener más detalles.
- Compute Engine almacena la clave en tu Cuenta de Google.
- Compute Engine configura tu nombre de usuario en el formato predeterminado:
USERNAME_DOMAIN_SUFFIXcloudysanfrancisco@gmail.com, entonces tu nombre de usuario generado escloudysanfrancisco_gmail_com. - De forma opcional, puedes establecer un nombre de usuario con la SDK de Admin de Google Workspace: API de Directory.
- Te conectarás a la VM.
- Compute Engine autentica tu clave SSH y otorga tu conexión.
Conexiones de certificados SSH
Haz clic en cada pestaña para obtener más información sobre las opciones de configuración de Compute Engine antes de que se otorguen conexiones SSH cuando usas certificados SSH para conectarte a las VMs. Compute Engine realiza diferentes configuraciones según si usas la consola de Google Cloud , gcloud CLI o herramientas de terceros para conectarte a las VMs. Si te conectas con herramientas de terceros, debes realizar algunas configuraciones tú mismo.
Console
- Usa el botón SSH en la console deGoogle Cloud para conectarte a tu VM.
- Compute Engine establece un nombre de usuario y crea un par de claves SSH efímero. Tu nombre de usuario es el que configuró el administrador de Google Workspace o Cloud Identity de tu organización. Si tu organización no configuró un nombre de usuario para ti o tu proyecto no pertenece a una organización, Compute Engine usa el correo electrónico de tu Cuenta de Google con el siguiente formato:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, entonces tu nombre de usuario generado escloudysanfrancisco_gmail_com. - Compute Engine envía tu clave pública a la autoridad certificadora de Acceso al SO y realiza la autorización de IAM para garantizar que tengas los permisos para conectarte a la VM.
- La autoridad certificadora de Acceso al SO proporciona un certificado SSH firmado de corta duración.
- Compute Engine autentica tu certificado de corta duración y otorga tu conexión.
gcloud
- Usa el comando
gcloud beta compute sshpara conectarte a tu VM. - Compute Engine establece un nombre de usuario y crea un par de claves SSH efímero. Tu nombre de usuario es el que configuró el administrador de Google Workspace o Cloud Identity de tu organización. Si tu organización no configuró un nombre de usuario para ti o tu proyecto no pertenece a una organización, Compute Engine usa el correo electrónico de tu Cuenta de Google con el siguiente formato:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, entonces tu nombre de usuario generado escloudysanfrancisco_gmail_com. - Compute Engine envía tu clave pública a la autoridad certificadora de Acceso al SO y realiza la autorización de IAM para garantizar que tengas los permisos para conectarte a la VM.
- La autoridad certificadora de Acceso al SO proporciona un certificado SSH firmado de corta duración.
- Compute Engine autentica tu certificado de corta duración y otorga tu conexión.
Herramientas de terceros
- Creas un par de claves SSH. Consulta Crea claves SSH para obtener más detalles.
- Si no te conectaste anteriormente a una VM que usa el Acceso al SO, debes aprovisionar una cuenta de POSIX.
- Compute Engine configura tu nombre de usuario en el formato predeterminado:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, entonces tu nombre de usuario generado escloudysanfrancisco_gmail_com. - De forma opcional, el administrador puede establecer un nombre de usuario con la API de Directory del SDK de Admin de Google Workspace. Si tu organización usa la federación de identidades de personal, debes comunicarte con tu administrador para cambiar tu nombre de usuario.
- Envías tu clave pública a la autoridad certificadora de Acceso al SO.
- La autoridad certificadora de Acceso al SO proporciona un certificado SSH firmado de corta duración.
- Usarás el certificado para conectarte a la VM.
- Compute Engine autentica tu certificado de corta duración y otorga tu conexión.
Próximos pasos
- Obtén más información sobre los beneficios de usar Acceso al SO.
- Configura el Acceso al SO para administrar el acceso a tus VMs.
- Obtén información para exigir certificados SSH con el Acceso al SO (versión preliminar).
- Obtén información para administrar claves SSH en metadatos, si no deseas usar el Acceso al SO.
- Obtén información para Conectarte a VMs.
- Si deseas encontrar métodos y herramientas para diagnosticar y resolver conexiones SSH fallidas, consulta Soluciona problemas de SSH.