如果您有在 Google Cloud上執行的 Linux 虛擬機器 (VM) 執行個體,您可能必須共用或限制對該 VM 的使用者或應用程式存取權。
如要管理對 Linux VM 執行個體的使用者存取權,您可以使用下列其中一種方法:
如要管理對 VM 執行個體的應用程式存取權,請參閱搭配服務帳戶使用 SSH。
管理使用者存取權
OS 登入
在大多數情況下,建議您使用 OS 登入。OS 登入功能可讓您使用 Compute Engine 身分與存取權管理角色,管理 Linux 執行個體的 SSH 存取權。您可以搭配雙重驗證設定 OS 登入,並設定機構政策來管理機構層級的存取權,藉此多添加一層安全防護。
如要瞭解如何啟用 OS 登入,請參閱設定 OS 登入。
管理中繼資料中的安全殼層金鑰
如果您是透過執行自己的目錄來管理存取權,或因故無法設定 OS 登入,您可以手動管理中繼資料中的安全殼層金鑰。
手動管理金鑰的風險
手動管理 SSH 金鑰的風險包括:
- 所有使用儲存在中繼資料中的 SSH 金鑰連線至 VM 的使用者,都擁有 VM 的存取權
sudo。 - 您必須追蹤過期的金鑰,並刪除不應有 VM 存取權的使用者金鑰。舉例來說,如果團隊成員離開您的專案,您必須手動從中繼資料移除他們的金鑰,以免他們繼續存取您的 VM。
- 如果 gcloud CLI 或 API 呼叫指定不正確,可能會清除您專案或 VM 中的所有公開 SSH 金鑰,造成專案成員的連線中斷。
- 凡是能夠修改專案中繼資料的使用者和服務帳戶,都可以為專案中的所有 VM 新增 SSH 金鑰,但封鎖專案層級 SSH 金鑰的 VM 除外。
如果您不確定是否要管理自己的金鑰,請改為使用 Compute Engine 工具連線至您的執行個體。
後續步驟
- 瞭解如何設定 OS 登入。
- 瞭解如何建立安全殼層金鑰。
- 瞭解如何將安全殼層金鑰新增至 VM。
- 瞭解如何限制 VM 的安全殼層金鑰。