Esta página se ha traducido con Cloud Translation API.

Conectarse mediante cuentas de servicio

En este documento se describe cómo usar una cuenta de servicio para conectarse a instancias de máquina virtual (VM) de Compute Engine mediante SSH. Configurar SSH para una cuenta de servicio te permite configurar aplicaciones para que usen SSH, lo que puede ayudarte a automatizar tus cargas de trabajo.

Antes de empezar

Crear cuentas de servicio
Si aún no lo has hecho, configura la autenticación. La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:
1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
```
gcloud init
```
  Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
  
  Nota: Si ya has instalado la CLI de gcloud, asegúrate de que tienes la versión más reciente ejecutando gcloud components update.
2. Set a default region and zone.

Conectarse manualmente a las VMs como cuenta de servicio

Para conectarte a las VMs como cuenta de servicio, utiliza uno de los siguientes métodos:

Suplantar directamente la identidad de una cuenta de servicio

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos:

Todos los permisos incluidos en el rol Creador de tokens de cuenta de servicio (roles/iam.serviceAccountTokenCreator) de la cuenta de servicio. Para obtener información sobre cómo conceder este rol a una cuenta de servicio concreta, consulta el artículo Gestionar el acceso a cuentas de servicio.
Si usas OS Login, necesitas todos los permisos incluidos en uno de los roles de gestión de identidades y accesos de OS Login en la cuenta de servicio.
Si no usas Inicio de sesión del SO, la cuenta de servicio también requiere el permiso compute.projects.setCommonInstanceMetadata.

Usa la CLI de gcloud marca --impersonate-service-account para conectarte directamente a una VM con la identidad de una cuenta de servicio. Ejecuta el siguiente comando para conectarte a una VM como cuenta de servicio:

gcloud compute ssh VM_NAME \
    --impersonate-service-account=SERVICE_ACCOUNT_EMAIL

Haz los cambios siguientes:

VM_NAME: el nombre de la máquina virtual a la que quieres conectar la cuenta de servicio.
SERVICE_ACCOUNT_EMAIL: la dirección de correo asociada a la cuenta de servicio.

Usar la identidad de una cuenta de servicio desde una VM

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos:

Todos los permisos incluidos en el rol Usuario de cuenta de servicio (roles/iam.serviceAccountUser) en la cuenta de servicio y en tu cuenta de usuario. Para obtener información sobre cómo conceder este rol a una cuenta de servicio concreta, consulta el artículo Gestionar el acceso a cuentas de servicio.
Si usas Inicio de sesión del SO, necesitas todos los permisos incluidos en uno de los roles de gestión de identidades y accesos de Inicio de sesión del SO en la cuenta de servicio y en tu cuenta de usuario.
Si no usas el inicio de sesión del SO, también necesitas el permiso compute.projects.setCommonInstanceMetadata en la cuenta de servicio y en tu cuenta de usuario.

Además, debes asignar tu cuenta de servicio a una máquina virtual y definir el cloud-platform ámbito de acceso en la máquina virtual.

Para usar la identidad de una cuenta de servicio desde otra VM, haz lo siguiente:

Conéctate a la VM que se ejecuta como cuenta de servicio.
Desde la VM que se ejecuta como cuenta de servicio, conéctate a otras VMs mediante los mismos métodos.

Nota: Los intentos de conexión que se realicen desde la máquina virtual que se ejecuta como cuenta de servicio usarán la identidad de la cuenta de servicio.

Siguientes pasos

Consulta cómo configurar aplicaciones para usar SSH.
Consulta más información sobre cómo funcionan las conexiones SSH en Compute Engine, incluida la configuración y el almacenamiento de claves SSH.

Conectarse mediante cuentas de servicio Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Antes de empezar

Conectarse manualmente a las VMs como cuenta de servicio

Suplantar directamente la identidad de una cuenta de servicio

Permisos que se necesitan para completar esta tarea

Usar la identidad de una cuenta de servicio desde una VM

Permisos que se necesitan para completar esta tarea

Siguientes pasos

Conectarse mediante cuentas de servicio