Se tiver instâncias de máquinas virtuais (VMs) Linux em execução no Google Cloud, pode ter de partilhar ou restringir o acesso de utilizadores ou aplicações às suas VMs.
Se precisar de gerir o acesso dos utilizadores às suas instâncias de VM Linux, pode usar um dos seguintes métodos:
Se precisar de gerir o acesso das aplicações às suas instâncias de VM, consulte o artigo Use o SSH com contas de serviço.
Gerir o acesso de utilizadores
Início de sessão do SO
Na maioria dos cenários, recomendamos a utilização do início de sessão do SO. A funcionalidade Início de sessão do SO permite-lhe usar funções IAM do Compute Engine para gerir o acesso SSH a instâncias Linux. Pode adicionar mais uma camada de segurança configurando o Início de sessão do SO com a autenticação de dois fatores e gerir o acesso ao nível da organização configurando políticas organizacionais.
Para saber como ativar o Início de sessão do SO, consulte o artigo Configure o Início de sessão do SO.
Faça a gestão de Chaves SSH nos metadados
Se estiver a executar o seu próprio serviço de diretório para gerir o acesso ou não conseguir configurar o Início de sessão do SO, pode gerir manualmente as chaves SSH nos metadados.
Riscos da gestão manual de chaves
Alguns dos riscos da gestão manual de chaves SSH incluem o seguinte:
- Todos os utilizadores que estabelecem ligação a VMs através de chaves SSH armazenadas em metadados têm
sudoacesso às VMs. - Tem de monitorizar as chaves expiradas e eliminar as chaves dos utilizadores que não devem ter acesso às suas VMs. Por exemplo, se um membro da equipa sair do seu projeto, tem de remover manualmente as respetivas chaves dos metadados para que não possa continuar a aceder às suas VMs.
- A especificação incorreta da CLI gcloud ou das chamadas API pode potencialmente eliminar todas as chaves SSH públicas no seu projeto ou nas suas VMs, o que interrompe as ligações para os membros do seu projeto.
- Os utilizadores e as contas de serviço que têm a capacidade de modificar os metadados do projeto podem adicionar chaves SSH para todas as VMs no projeto, exceto para as VMs que bloqueiam as chaves SSH ao nível do projeto.
Se não tiver a certeza de que quer gerir as suas próprias chaves, use as ferramentas do Compute Engine para se ligar às suas instâncias em alternativa.
O que se segue?
- Saiba como configurar o Início de sessão do SO.
- Saiba como criar chaves SSH.
- Saiba como adicionar chaves SSH a VMs.
- Saiba como restringir chaves SSH de VMs.