如果您在 Google Cloud 上运行 Linux 虚拟机 (VM) 实例,则可能需要共享或限制用户或应用对虚拟机的访问权限。
如果您需要管理对 Linux 虚拟机实例的用户访问权限,可以使用以下任一方法:
如果您需要管理应用对虚拟机实例的访问权限,请参阅将 SSH 与服务账号结合使用。
管理用户访问权限
OS Login
在大多数情况下,我们建议使用 OS Login。 通过 OS Login 功能,您可以使用 Compute Engine IAM 角色来管理对 Linux 实例的 SSH 访问权限。您可以通过使用双重身份验证设置 OS Login 来额外增加一层保护,并通过设置组织政策在组织层级管理访问权限。
如需了解如何启用 OS Login,请参阅设置 OS Login。
管理元数据中的 SSH 密钥
如果您运行自己的目录服务来管理访问权限,或者无法设置 OS Login,则可以手动管理元数据中的 SSH 密钥。
手动管理密码的风险
手动管理 SSH 密钥的一些风险包括:
- 使用存储在元数据中的 SSH 密钥连接虚拟机的所有用户都具有对虚拟机的
sudo访问权限。 - 您必须跟踪过期的密钥并删除不应访问您的虚拟机的用户的密钥。例如,如果某位团队成员离开了您的项目,您必须手动从元数据中移除其密钥,使其无法再访问您的虚拟机。
- 如果指定的 gcloud CLI 或 API 调用不正确,则系统有可能擦除您的项目或实例中的所有 SSH 公钥,导致项目成员的连接中断。
- 能够修改项目元数据的用户和服务账号可以为项目中的所有虚拟机添加 SSH 密钥,但屏蔽项目级 SSH 密钥的虚拟机除外。
如果您不确定是否要自行管理密钥,请使用 Compute Engine 工具连接到您的实例。
后续步骤
- 了解如何设置 OS Login。
- 了解如何创建 SSH 密钥。
- 了解如何将 SSH 密钥添加到虚拟机
- 了解如何限制来自虚拟机的 SSH 密钥。