Limitare le chiavi SSH dalle VM


Questo documento descrive come impedire agli utenti di accedere alle istanze di macchine virtuali (VM) rimuovendo e bloccando le chiavi SSH dalle VM.

Prima di iniziare

  • Se non l'hai ancora fatto, configura l'autenticazione. L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Rimuovere le chiavi SSH

Puoi rimuovere le chiavi SSH dalle VM che utilizzano OS Login e dalle VM che utilizzano chiavi SSH basate su metadati.

Rimuovere le chiavi SSH dalle VM che utilizzano OS Login

Le VM che utilizzano OS Login accettano le chiavi SSH associate al tuo account Google. Puoi rimuovere una chiave SSH pubblica dal tuo account utente utilizzando Google Cloud CLI o l'API OS Login. Se sei un amministratore della tua organizzazione, puoi rimuovere le chiavi SSH dagli account utente utilizzando la Directory API. Compute Engine rimuove automaticamente le chiavi scadute dal tuo Account Google.

gcloud

Per rimuovere una chiave pubblica SSH dal tuo account:

  1. Se non sai quale chiave rimuovere, esegui il comando gcloud compute os-login describe-profile per visualizzare tutte le chiavi associate al tuo account:

    gcloud compute os-login describe-profile
    
  2. Copia il valore fingerprint della chiave che vuoi eliminare.

  3. Rimuovi la chiave dal tuo account utilizzando il comando gcloud compute os-login ssh-keys remove:

    gcloud compute os-login ssh-keys remove --key=KEY
    

    Sostituisci KEY con la chiave pubblica SSH che vuoi rimuovere o con l'impronta di OS Login della chiave che vuoi rimuovere.

REST

Per rimuovere una chiave pubblica SSH dal tuo account:

  1. Se non sai quale chiave vuoi rimuovere, utilizza il metodo users.getLoginProfile per visualizzare tutte le chiavi associate al tuo account:

    GET https://oslogin.googleapis.com/v1/users/ACCOUNT_EMAIL/loginProfile
    

    Sostituisci ACCOUNT_EMAIL con l'indirizzo email associato al tuo account.

  2. Copia il valore fingerprint della chiave che vuoi eliminare.

  3. Rimuovi la chiave dal tuo account utilizzando il metodo users.sshPublicKeys.delete:

    DELETE https://oslogin.googleapis.com/v1/users/ACCOUNT_EMAIL/sshPublicKeys/FINGERPRINT
    

    Sostituisci quanto segue:

    • ACCOUNT_EMAIL: l'indirizzo email associato al tuo account
    • FINGERPRINT: l'impronta SHA-256 della chiave da rimuovere

Rimuovere le chiavi SSH dalle VM che utilizzano chiavi basate su metadati

Puoi rimuovere una chiave SSH pubblica dai metadati del progetto o dell'istanza utilizzando la console Google Cloud, gcloud CLI o l'API Compute Engine.

Dopo aver rimosso l'ultima chiave dai metadati per un determinato utente o dopo la scadenza dell'ultima chiave nei metadati per un determinato utente, Compute Engine elimina il file ~/.ssh/authorized_keys dell'utente sulla VM.

Attenzione: se gestisci le chiavi SSH nei metadati, potresti interrompere la capacità dei membri del progetto di connettersi alle VM. Inoltre, rischi di concedere agli utenti, inclusi quelli esterni al progetto, l'accesso indesiderato alle VM. Per ulteriori informazioni, consulta i rischi della gestione manuale delle chiavi.

Rimuovere una chiave pubblica dai metadati del progetto

Rimuovi una chiave SSH pubblica dai metadati del progetto per rimuovere l'accesso a tutte le VM di un progetto.

Quando rimuovi una chiave dai metadati utilizzando gcloud CLI e l'API Compute Engine, devi recuperare l'elenco delle chiavi esistenti, modificarlo per rimuovere le chiavi indesiderate e sovrascrivere le vecchie chiavi con l'elenco delle chiavi da conservare, come spiegato nella sezione seguente.

Console

Per rimuovere una chiave SSH pubblica dai metadati del progetto utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Metadati.

    Vai a Metadati

  2. Fai clic sulla scheda Chiavi SSH.

  3. Fai clic su Modifica nella parte superiore della pagina.

  4. Vai alla chiave SSH che vuoi rimuovere e fai clic sul pulsante di eliminazione accanto alla chiave SSH.

    Ripeti questo passaggio per ogni chiave SSH che vuoi rimuovere.

  5. Fai clic su Salva.

gcloud

Per rimuovere una chiave pubblica SSH dai metadati del progetto utilizzando gcloud CLI, segui questi passaggi:

  1. Esegui il comando gcloud compute project-info describe per recuperare i metadati del progetto:

    gcloud compute project-info describe
    

    L'output è simile al seguente:

    ...
    metadata:
      ...
      - key: ssh-keys
        value: |-
          cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF
          baklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8 google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}
    ...
    
  2. Copia il valore dei metadati ssh-keys.

  3. Crea e apri un nuovo file di testo sulla tua workstation.

  4. Incolla nel file l'elenco delle chiavi SSH che hai appena copiato, quindi elimina le chiavi che vuoi rimuovere dai metadati del progetto.

  5. Salva e chiudi il file.

  6. Esegui il comando gcloud compute project-info add-metadata per impostare il valore ssh-keys a livello di progetto:

    gcloud compute project-info add-metadata --metadata-from-file=ssh-keys=KEY_FILE
    

    Sostituisci KEY_FILE con una delle seguenti opzioni:

    • il percorso del file creato nel passaggio precedente, se il progetto aveva chiavi SSH esistenti
    • il percorso del nuovo file della chiave SSH pubblica, se il progetto non aveva chiavi SSH esistenti

REST

Per rimuovere una chiave pubblica SSH dai metadati del progetto utilizzando l'API Compute Engine:

  1. Utilizza il metodo projects.get per ottenere i valori fingerprint e ssh-keys dai metadati.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID progetto.

    La risposta è simile alla seguente:

    ...
    "fingerprint": "utgYE_XWtE8=",
    "items": [
     {
      "key": "ssh-keys",
      "value": "cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF\nbaklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8 google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}"
     }
    ]
    ...
    
  2. Copia l'elenco dei valori delle chiavi SSH ed elimina le chiavi che vuoi rimuovere.

  3. Utilizza il pulsante projects.setCommonInstanceMetadata per rimuovere le chiavi SSH.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/setCommonInstanceMetadata
    
    {
    "items": [
     {
      "key": "ssh-keys",
      "value": "EXISTING_SSH_KEYS"
     }
    ]
    "fingerprint": "FINGERPRINT"
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • EXISTING_SSH_KEYS: l'elenco delle chiavi SSH che vuoi conservare
    • FINGERPRINT: il valore di fingerprint dalla risposta della richiesta projects.get

Rimuovere una chiave pubblica SSH dai metadati dell'istanza

Rimuovi una chiave pubblica SSH dai metadati dell'istanza per rimuovere l'accesso a una singola VM.

Quando rimuovi una chiave dai metadati utilizzando gcloud CLI e l'API Compute Engine, devi recuperare l'elenco delle chiavi esistenti, modificarlo per rimuovere le chiavi indesiderate e sovrascrivere le vecchie chiavi con l'elenco delle chiavi che vuoi conservare, come spiegato nella sezione seguente.

Console

Per rimuovere una chiave pubblica SSH dai metadati dell'istanza utilizzando la console Google Cloud:

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome della VM per cui vuoi rimuovere una chiave.

  3. Fai clic su Modifica.

  4. Nella sezione Chiavi SSH, fai clic su Mostra e modifica. La sezione si espande per mostrare tutte le chiavi SSH pubbliche a livello di istanza.

  5. Fai clic sul pulsante Elimina accanto alla chiave SSH da rimuovere.

    Ripeti questo passaggio per ogni chiave SSH che vuoi rimuovere.

  6. Fai clic su Salva.

gcloud

Per rimuovere una chiave SSH pubblica dai metadati dell'istanza utilizzando l'interfaccia a riga di comando gcloud:

  1. Esegui il comando gcloud compute instances describe per recuperare i metadati della VM:

    gcloud compute instances describe VM_NAME
    

    Sostituisci VM_NAME con il nome della VM per la quale devi aggiungere o rimuovere le chiavi SSH pubbliche.

    L'output è simile al seguente:

    ...
    metadata:
    ...
    - key: ssh-keys
     value: |-
       cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF
       baklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8 google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}
    ...
    
  2. Copia il valore dei metadati ssh-keys.

  3. Crea e apri un nuovo file di testo sulla tua workstation locale.

  4. Incolla nel file l'elenco delle chiavi SSH che hai appena copiato, quindi rimuovi le chiavi che vuoi eliminare.

  5. Salva e chiudi il file.

  6. Esegui il comando gcloud compute project-info add-metadata per impostare il valore ssh-keys a livello di progetto:

    gcloud compute instances add-metadata VM_NAME --metadata-from-file ssh-keys=KEY_FILE
    

    Sostituisci quanto segue:

    • VM_NAME: la VM per cui vuoi rimuovere la chiave SSH
    • KEY_FILE: il percorso del file che contiene l'elenco di tutte le chiavi SSH del progetto

REST

Per rimuovere una chiave pubblica SSH dai metadati dell'istanza utilizzando l'API Compute Engine, segui questi passaggi:

  1. Utilizza il metodo instances.get per ottenere i valori fingerprint e ssh-keys dai metadati.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME
    

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • ZONE: la zona della VM per la quale stai aggiungendo una chiave SSH
    • VM_NAME: la VM per cui stai aggiungendo una chiave SSH

    La risposta è simile alla seguente:

    ...
    "fingerprint": "utgYE_XWtE8=",
    "items": [
    {
     "key": "ssh-keys",
     "value": "cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF\nbaklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8 google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}"
    }
    ]
    ...
    
  2. Copia l'elenco dei valori delle chiavi SSH ed elimina le chiavi che vuoi rimuovere.

  3. Utilizza il pulsante instances.setMetadata per rimuovere le chiavi SSH.

    
    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/setMetadata
    
    {
    "items": [
     {
      "key": "ssh-keys",
      "value": "EXISTING_SSH_KEYS
     }
    ]
    "fingerprint": "FINGERPRINT"
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • EXISTING_SSH_KEYS: il valore della chiave ssh-keys della risposta della richiesta projects.get
    • FINGERPRINT: il valore di fingerprint dalla risposta della richiesta instances.get

Bloccare le chiavi SSH del progetto dalle VM che utilizzano chiavi SSH basate su metadati

Puoi impedire alle VM di accettare le chiavi SSH memorizzate nei metadati del progetto bloccando le chiavi SSH del progetto dalle VM. Puoi bloccare le chiavi SSH del progetto dalle VM quando crei una VM o dopo aver creato una VM.

Bloccare le chiavi SSH del progetto da una VM durante la creazione della VM

Puoi bloccare le chiavi SSH del progetto dalle VM durante la loro creazione utilizzando la console Google Cloud, gcloud CLI o l'API Compute Engine.

Console

Per creare una VM e impedire che accetti le chiavi SSH archiviate nei metadati del progetto utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Crea un'istanza.

    Vai a Crea un'istanza

  2. Specifica i dettagli della VM.

  3. Espandi la sezione Opzioni avanzate e segui questi passaggi:

    1. Espandi la sezione Sicurezza.

    2. Seleziona Blocca chiavi SSH a livello di progetto.

  4. Per creare e avviare la VM, fai clic su Crea.

gcloud

Per creare una VM e impedire che accetti le chiavi SSH memorizzate nei metadati del progetto utilizzando gcloud CLI, utilizza il comando gcloud compute instances create:

gcloud compute instances create VM_NAME \
    --metadata block-project-ssh-keys=TRUE

Sostituisci VM_NAME con il nome della nuova VM.

REST

Per creare una VM e impedirle di accettare le chiavi SSH archiviate nei metadati del progetto utilizzando Compute Engine, crea una richiesta POST al metodo instances.insert:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto
  • ZONE: la zona della VM

Nel corpo della richiesta, fornisci i nomi utente e le chiavi SSH pubbliche nella proprietà items:

...
{
 "items": [
    {
     "key": "block-project-ssh-keys",
     "value": TRUE
    }
   ]
}
...

Bloccare le chiavi SSH del progetto da una VM dopo la creazione della VM

Puoi bloccare le chiavi SSH del progetto dalle VM dopo la loro creazione utilizzando la console Google Cloud, gcloud CLI o l'API Compute Engine.

Console

Per impedire alle VM di accettare connessioni da chiavi SSH memorizzate nei metadati del progetto utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome della VM per cui vuoi bloccare le chiavi SSH del progetto.

  3. Fai clic su Modifica.

  4. In Chiavi SSH, seleziona la casella di controllo Bloccare le chiavi SSH a livello di progetto.

  5. Al termine della modifica dell'impostazione di connessione per le chiavi SSH, fai clic su Salva.

gcloud

Per impedire alle VM di accettare connessioni da chiavi SSH memorizzate nei metadati del progetto utilizzando l'interfaccia a riga di comando gcloud, segui questi passaggi:

Esegui il comando gcloud compute instances add-metadata:

gcloud compute instances add-metadata VM_NAME --metadata block-project-ssh-keys=TRUE

Sostituisci VM_NAME con il nome della VM per la quale vuoi bloccare le chiavi SSH pubbliche a livello di progetto.

REST

Per impedire alle VM di accettare connessioni da chiavi SSH archiviate nei metadati del progetto utilizzando l'API Compute Engine, segui questi passaggi:

  1. Utilizza il metodo instances.get per ottenere fingerprint dai metadati.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME
    

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • ZONE: la zona della VM per la quale stai aggiungendo una chiave SSH
    • VM_NAME: la VM per cui stai aggiungendo una chiave SSH

    La risposta è simile alla seguente:

    ...
    "fingerprint": "utgYE_XWtE8="
    ...
    
  2. Utilizza il metodo instances.setMetadata per impostare block-project-ssh-keys su TRUE:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/setMetadata
    
    {
    "items": [
     {
      "key": "block-project-ssh-keys",
      "value": TRUE
     }
    ]
    "fingerprint": "FINGERPRINT"
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID è l'ID progetto
    • ZONE è la zona in cui si trova l'istanza
    • INSTANCE_NAME è l'istanza in cui vuoi bloccare le chiavi a livello di progetto.
    • FINGERPRINT: il valore di fingerprint dalla risposta della richiesta instances.get.

Passaggi successivi