Questo documento descrive come utilizzare un account di servizio per connettersi alle istanze di macchine virtuali (VM) di Compute Engine tramite SSH. La configurazione di SSH per un account di servizio ti consente di configurare le app per l'utilizzo di SSH, il che può aiutarti ad automatizzare i carichi di lavoro.
Prima di iniziare
- Crea un account di servizio.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è il processo mediante il quale la tua identità viene verificata per l'accesso a servizi e API. Google Cloud
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Connettersi manualmente alle VM come account di servizio
Per connetterti alle VM come account di servizio, utilizza uno dei seguenti metodi:
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:
- Tutte le autorizzazioni incluse nel ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator
) nell'account di servizio. Per informazioni dettagliate su come assegnare questo ruolo a un singolo account di servizio, consulta Gestire l'accesso agli account di servizio. - Se utilizzi OS Login, devi disporre di tutte le autorizzazioni, incluso uno dei ruoli IAM di OS Login, per l'account di servizio.
- Se non utilizzi l'accesso all'OS, l'account di servizio richiede anche l'autorizzazione
compute.projects.setCommonInstanceMetadata
.
Utilizza il --impersonate-service-account
flag della CLI gcloud per connetterti direttamente a una VM utilizzando l'identità di un account di servizio. Esegui il
comando seguente per connetterti a una VM come account di servizio:
gcloud compute sshVM_NAME \ --impersonate-service-account=SERVICE_ACCOUNT_EMAIL
Sostituisci quanto segue:
VM_NAME
: il nome della VM con cui vuoi connetterti all'account di servizio.SERVICE_ACCOUNT_EMAIL
: l'indirizzo email associato all'account di servizio.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:
- Tutte le autorizzazioni incluse nel
ruolo Utente account di servizio (
roles/iam.serviceAccountUser
) nell'account di servizio e nel tuo account utente. Per informazioni dettagliate su come assegnare questo ruolo a un singolo account di servizio, consulta Gestire l'accesso agli account di servizio. - Se utilizzi Accesso sistema operativo, devi disporre di tutte le autorizzazioni, incluso uno dei ruoli IAM di Accesso sistema operativo, per l'account di servizio e per il tuo account utente.
- Se non utilizzi OS Login, devi disporre anche dell'autorizzazione
compute.projects.setCommonInstanceMetadata
per l'account servizio e per il tuo account utente.
Inoltre, devi
assegnare il tuo account di servizio a una VM e impostare l'ambito di accesso cloud-platform
sulla VM.
Per impersonare un account di servizio da un'altra VM:
- Connettiti alla VM che viene eseguita come account di servizio.
Dalla VM che viene eseguita come account di servizio, connettiti ad altre VM utilizzando gli stessi metodi.
Passaggi successivi
- Scopri come configurare le app per l'utilizzo di SSH.
- Scopri di più su come funzionano le connessioni SSH in Compute Engine, inclusa la configurazione e l'archiviazione delle chiavi SSH.