Verbindung über Dienstkonten herstellen


In diesem Dokument wird beschrieben, wie Sie ein Dienstkonto verwenden, um über SSH eine Verbindung zu Compute Engine-VM-Instanzen herzustellen. Durch die Einrichtung von SSH für ein Dienstkonto können Sie Anwendungen für die Verwendung von SSH konfigurieren und so Ihre Arbeitslasten automatisieren.

Hinweise

  • Erstellen Sie ein Dienstkonto.
  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich bei Compute Engine authentifizieren. Wählen Sie dazu eine der folgenden Optionen aus:
    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.

Als Dienstkonto manuell eine Verbindung zu VMs herstellen

Verwenden Sie eine der folgenden Methoden, um als Dienstkonto eine Verbindung zu VMs herzustellen:

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen:

Verwenden Sie das Flag --impersonate-service-account der gcloud CLI, um mithilfe der Identität eines Dienstkontos direkt eine Verbindung zu einer VM herzustellen. Führen Sie den folgenden Befehl aus, um eine Verbindung zu einer VM als Dienstkonto herzustellen:

gcloud compute ssh VM_NAME \
    --impersonate-service-account=SERVICE_ACCOUNT_EMAIL

Dabei gilt:

  • VM_NAME: Der Name der VM, als die Sie eine Verbindung zum Dienstkonto herstellen möchten.
  • SERVICE_ACCOUNT_EMAIL: Die mit dem Dienstkonto verknüpfte E-Mail-Adresse.

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen:

  • Alle Berechtigungen, die in der Rolle „Dienstkontonutzer” (roles/iam.serviceAccountUser) für das Dienstkonto und Ihr Nutzerkonto enthalten sind. Weitere Informationen zum Zuweisen dieser Rolle für ein einzelnes Dienstkonto finden Sie unter Zugriff auf Dienstkonten verwalten.
  • Wenn Sie OS Login verwenden, benötigen Sie alle Berechtigungen, die eine der IAM-Rollen für OS Login für das Dienstkonto und Ihr Nutzerkonto enthält.
  • Wenn Sie OS Login nicht verwenden, benötigen Sie auch die Berechtigung compute.projects.setCommonInstanceMetadata für das Dienstkonto und Ihr Nutzerkonto.

Außerdem müssen Sie Ihr Dienstkonto einer VM zuweisen und den Zugriffsbereich cloud-platform für die VM festlegen.

So übernehmen Sie die Identität eines Dienstkontos von einer anderen VM:

  1. Stellen Sie eine Verbindung zur VM her, die als Dienstkonto ausgeführt wird.
  2. Von der VM, die als Dienstkonto ausgeführt wird, stellen Sie eine Verbindung zu anderen VMs mit den gleichen Methoden her.

Nächste Schritte