Esta página foi traduzida pela API Cloud Translation.

Estabeleça ligação através de contas de serviço

Este documento descreve como usar uma conta de serviço para estabelecer ligação a instâncias de máquinas virtuais (VMs) do Compute Engine através de SSH. A configuração do SSH para uma conta de serviço permite-lhe configurar apps para usar o SSH, o que pode ajudar a automatizar as suas cargas de trabalho.

Antes de começar

Crie uma conta de serviço.
Se ainda não o tiver feito, configure a autenticação. A autenticação valida a sua identidade para aceder a Google Cloud serviços e APIs. Para executar código ou exemplos a partir de um ambiente de desenvolvimento local, pode autenticar-se no Compute Engine selecionando uma das seguintes opções:
1. Instale a CLI Google Cloud. Após a instalação, inicialize a CLI gcloud executando o seguinte comando:
```
gcloud init
```
  Se estiver a usar um fornecedor de identidade (IdP) externo, primeiro tem de iniciar sessão na CLI gcloud com a sua identidade federada.
  
  Nota: se instalou a CLI gcloud anteriormente, certifique-se de que tem a versão mais recente executando gcloud components update.
2. Set a default region and zone.

Ligue-se manualmente a VMs como uma conta de serviço

Para estabelecer ligação a VMs como uma conta de serviço, use um dos seguintes métodos:

Usar a identidade da conta de serviço diretamente

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações:

Todas as autorizações incluídas na função Criador de tokens de contas de serviço (roles/iam.serviceAccountTokenCreator), na conta de serviço. Para ver detalhes sobre como conceder esta função numa única conta de serviço, consulte o artigo Faça a gestão do acesso às contas de serviço.
Se usar o Início de sessão do SO, precisa de todas as autorizações incluídas numa das funções IAM do Início de sessão do SO na conta de serviço.
Se não usar o início de sessão no SO, a conta de serviço também requer a autorização compute.projects.setCommonInstanceMetadata.

Use a flag --impersonate-service-account da CLI gcloud para se ligar diretamente a uma VM através da identidade de uma conta de serviço. Execute o seguinte comando para estabelecer ligação a uma VM como conta de serviço:

gcloud compute ssh VM_NAME \
    --impersonate-service-account=SERVICE_ACCOUNT_EMAIL

Substitua o seguinte:

VM_NAME: o nome da VM à qual quer estabelecer ligação como conta de serviço.
SERVICE_ACCOUNT_EMAIL: o endereço de email associado à conta de serviço.

Usar a identidade de uma conta de serviço a partir de uma VM

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter as seguintes autorizações:

Todas as autorizações incluídas na função de utilizador da conta de serviço (roles/iam.serviceAccountUser) na conta de serviço e na sua conta de utilizador. Para ver detalhes sobre como conceder esta função numa única conta de serviço, consulte o artigo Faça a gestão do acesso às contas de serviço.
Se usar o Início de sessão do SO, precisa de todas as autorizações incluídas numa das funções IAM do Início de sessão do SO na conta de serviço e na sua conta de utilizador.
Se não usar o início de sessão do SO, também precisa da autorização compute.projects.setCommonInstanceMetadata na conta de serviço e na sua conta de utilizador.

Além disso, tem de atribuir a sua conta de serviço a uma VM e definir o cloud-platformâmbito de acesso na VM.

Para usar a identidade de uma conta de serviço a partir de outra VM, faça o seguinte:

Estabeleça ligação à VM que é executada como uma conta de serviço.
A partir da VM que é executada como uma conta de serviço, estabeleça ligação a outras VMs através dos mesmos métodos.

Nota: as tentativas de ligação feitas a partir da VM que é executada como a conta de serviço usam a identidade da conta de serviço.

O que se segue?

Saiba como configurar apps para usar SSH.
Saiba mais sobre como funcionam as ligações SSH no Compute Engine, incluindo a configuração e o armazenamento da chave SSH.

Estabeleça ligação através de contas de serviço Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Ligue-se manualmente a VMs como uma conta de serviço

Usar a identidade da conta de serviço diretamente

Autorizações necessárias para esta tarefa

Usar a identidade de uma conta de serviço a partir de uma VM

Autorizações necessárias para esta tarefa

O que se segue?

Estabeleça ligação através de contas de serviço