In diesem Dokument wird beschrieben, wie Sie ein Dienstkonto verwenden, um über SSH eine Verbindung zu Compute Engine-VM-Instanzen herzustellen. Durch die Einrichtung von SSH für ein Dienstkonto können Sie Anwendungen für die Verwendung von SSH konfigurieren und so Ihre Arbeitslasten automatisieren.
Hinweise
- Erstellen Sie ein Dienstkonto.
-
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben.
Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud Dienste und APIs überprüft.
Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich bei Compute Engine authentifizieren. Wählen Sie dazu eine der folgenden Optionen aus:
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Als Dienstkonto manuell eine Verbindung zu VMs herstellen
Verwenden Sie eine der folgenden Methoden, um als Dienstkonto eine Verbindung zu VMs herzustellen:
Erforderliche Berechtigungen für diese Aufgabe
Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen:
- Alle Berechtigungen, die in der Rolle „Dienstkonto-Token-Ersteller” (
roles/iam.serviceAccountTokenCreator
) für das Dienstkonto enthalten sind. Weitere Informationen zum Zuweisen dieser Rolle für ein einzelnes Dienstkonto finden Sie unter Zugriff auf Dienstkonten verwalten. - Wenn Sie OS Login verwenden, benötigen Sie alle Berechtigungen, die in einer der IAM-Rollen für OS Login für das Dienstkonto enthalten sind.
- Wenn Sie OS Login nicht verwenden, benötigt das Dienstkonto auch die Berechtigung
compute.projects.setCommonInstanceMetadata
.
Verwenden Sie das Flag --impersonate-service-account
der gcloud CLI, um mithilfe der Identität eines Dienstkontos direkt eine Verbindung zu einer VM herzustellen. Führen Sie den folgenden Befehl aus, um eine Verbindung zu einer VM als Dienstkonto herzustellen:
gcloud compute sshVM_NAME \ --impersonate-service-account=SERVICE_ACCOUNT_EMAIL
Dabei gilt:
VM_NAME
: Der Name der VM, als die Sie eine Verbindung zum Dienstkonto herstellen möchten.SERVICE_ACCOUNT_EMAIL
: Die mit dem Dienstkonto verknüpfte E-Mail-Adresse.
Erforderliche Berechtigungen für diese Aufgabe
Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen:
- Alle Berechtigungen, die in der Rolle „Dienstkontonutzer” (
roles/iam.serviceAccountUser
) für das Dienstkonto und Ihr Nutzerkonto enthalten sind. Weitere Informationen zum Zuweisen dieser Rolle für ein einzelnes Dienstkonto finden Sie unter Zugriff auf Dienstkonten verwalten. - Wenn Sie OS Login verwenden, benötigen Sie alle Berechtigungen, die eine der IAM-Rollen für OS Login für das Dienstkonto und Ihr Nutzerkonto enthält.
- Wenn Sie OS Login nicht verwenden, benötigen Sie auch die Berechtigung
compute.projects.setCommonInstanceMetadata
für das Dienstkonto und Ihr Nutzerkonto.
Außerdem müssen Sie Ihr Dienstkonto einer VM zuweisen und den Zugriffsbereich cloud-platform
für die VM festlegen.
So übernehmen Sie die Identität eines Dienstkontos von einer anderen VM:
- Stellen Sie eine Verbindung zur VM her, die als Dienstkonto ausgeführt wird.
Von der VM, die als Dienstkonto ausgeführt wird, stellen Sie eine Verbindung zu anderen VMs mit den gleichen Methoden her.
Nächste Schritte
- Apps für die Verwendung von SSH konfigurieren
- Erfahren Sie mehr über die Funktionsweise von SSH-Verbindungen in Compute Engine, einschließlich der Konfiguration und Speicherung von SSH-Schlüsseln.