Wenn Linux-VM-Instanzen auf Google Cloudausgeführt werden, müssen Sie den Nutzer- oder Anwendungszugriff möglicherweise auf Ihre VMs freigeben oder einschränken.
Wenn Sie den Nutzerzugriff auf die Linux-VM-Instanzen verwalten müssen, haben Sie dazu folgende Möglichkeiten:
Weitere Informationen zum Verwalten des Anwendungszugriffs auf Ihre VM-Instanzen finden Sie im Thema zum Verwenden von SSH mit Dienstkonten.
Nutzerzugriff verwalten
OS Login
Meist empfehlen wir die Verwendung von OS Login. Mit dem Feature "OS Login" können Sie den SSH-Zugriff auf Linux-Instanzen über Compute Engine-IAM-Rollen verwalten. Zur weiteren Erhöhung der Sicherheit können Sie OS Login mit 2-Faktor-Authentifizierung einrichten und den Zugriff auf Organisationsebene durch das Einrichten von Organisationsrichtlinien verwalten.
Informationen zum Aktivieren von OS Login finden Sie unter OS Login einrichten.
SSH-Schlüssel in Metadaten verwalten
Wenn Sie einen eigenen Verzeichnisdienst für die Zugriffsverwaltung ausführen oder aus einem anderen Grund OS Login nicht einrichten können, haben Sie die Möglichkeit, SSH-Schlüssel in Metadaten manuell zu verwalten.
Risiken der manuellen Schlüsselverwaltung
Zu den Risiken der manuellen SSH-Schlüsselverwaltung gehören:
- Alle Nutzer, die über in Metadaten gespeicherte SSH-Schlüssel eine Verbindung zu VMs herstellen, haben
sudoZugriff auf VMs. - Sie müssen abgelaufene Schlüssel im Auge behalten und Schlüssel für Nutzer löschen, die keinen Zugriff auf Ihre VMs haben sollten. Wenn beispielsweise ein Teammitglied Ihr Projekt verlässt, müssen Sie die Schlüssel manuell aus den Metadaten entfernen, damit das Teammitglied nicht mehr auf Ihre VMs zugreifen kann.
- Darüber hinaus können durch Aufrufe mit falschen Angaben in der gcloud CLI oder der API alle öffentlichen SSH-Schlüssel in Ihrem Projekt oder auf Ihren VMs gelöscht werden, was zur Unterbrechung der Verbindungen Ihrer Projektmitglieder führt.
- Nutzer und Dienstkonten, die Projektmetadaten ändern können, können SSH-Schlüssel für alle VMs im Projekt hinzufügen, mit Ausnahme von VMs, die SSH-Schlüssel auf Projektebene blockieren.
Wenn Sie sich nicht sicher sind, ob Sie Ihre Schlüssel selbst verwalten sollten, verwenden Sie stattdessen die Compute Engine-Tools, um eine Verbindung zu Ihren Instanzen herzustellen.
Nächste Schritte
- OS Login einrichten
- SSH-Schlüssel erstellen
- SSH-Schlüssel zu VMs hinzufügen
- SSH-Schlüssel von VMs einschränken