Si tienes instancias de máquina virtual (VM) de Linux que se ejecutan en Google Cloud, es posible que debas compartir o restringir el acceso de usuarios o aplicaciones a tus VM.
Si necesitas administrar el acceso de los usuarios a tus instancias de VM de Linux, puedes usar uno de los siguientes métodos:
Si necesitas administrar el acceso de aplicacións a tus instancias de VM, consulta Usa SSH con cuentas de servicio.
Administrar el acceso de usuarios
Acceso a SO
En la mayoría de los casos, recomendamos usar el Acceso a SO. El rol de Acceso al SO te permite usar las funciones de IAM de Compute Engine para administrar el acceso SSH a instancias de Linux. Puedes agregar una capa de seguridad adicional mediante la configuración del Acceso al SO con autenticación de dos factores y administrar el acceso a nivel de la organización si configuras las políticas de la organización.
Para obtener información sobre cómo habilitar el Acceso al SO, consulta Configura el Acceso al SO.
Administra Claves SSH en metadatos
Si ejecutas tu propio servicio de directorio para administrar el acceso o no puedes configurar el Acceso al SO, puedes administrar de forma manual las claves SSH en los metadatos.
Riesgos de la administración de claves manual
Algunos de los riesgos de la administración de claves SSH manuales son los siguientes:
- Todos los usuarios que se conectan a las VMs con claves SSH almacenadas en metadatos tienen acceso
sudo
a las VMs. - Debes realizar un seguimiento de las claves vencidas y borrar las claves para los usuarios que no deberían tener acceso a las VMs. Por ejemplo, si un miembro del equipo abandona tu proyecto, debes quitar sus claves de los metadatos de forma manual para que no puedan acceder a tus VMs.
- Además, si especificas de forma incorrecta tu CLI de gcloud o las llamadas a la API, se podrían borrar todas las claves SSH públicas de tu proyecto o de tus VMs, lo que interrumpe las conexiones para los miembros de tu proyecto.
- Los usuarios y las cuentas de servicio que tienen la capacidad de modificar los metadatos del proyecto pueden agregar claves SSH para todas las VMs del proyecto, excepto las VMs que bloquean las claves SSH a nivel de proyecto.
Si no estás seguro de querer administrar tus propias claves, usa las herramientas de Compute Engine para conectarte a tus instancias.
Próximos pasos
- Obtén información sobre cómo configurar el Acceso al SO.
- Obtén más información para crear claves SSH.
- Obtén información para agregar claves SSH a las VMs.
- Obtén más información para restringir las claves SSH de las VMs.