Choisir une méthode d'accès


Si des instances de machine virtuelle (VM) Linux sont exécutées sur Google Cloud, vous devrez peut-être partager ou restreindre l'accès des utilisateurs ou des applications à ces VM.

Gérer l'accès des utilisateurs

OS Login

Dans la plupart des cas, nous vous recommandons d'utiliser OS Login. Cette fonctionnalité vous permet d'utiliser les rôles IAM Compute Engine pour gérer l'accès SSH aux instances Linux. Vous pouvez ajouter un niveau de sécurité supplémentaire en configurant OS Login avec une authentification à deux facteurs, et gérer l'accès au niveau de l'organisation en configurant des règles d'administration.

Pour savoir comment activer OS Login, consultez la page Configurer OS Login.

Gérer des clés SSH dans les métadonnées

Si vous exécutez votre propre service d'annuaire pour gérer l'accès ou si vous ne parvenez pas à configurer OS Login, vous pouvez gérer manuellement les clés SSH dans les métadonnées.

Risques liés à la gestion manuelle des clés

Voici quelques-uns des risques liés à la gestion manuelle des clés SSH :

  • Tous les utilisateurs qui se connectent à des VM à l'aide de clés SSH stockées dans les métadonnées ont un accès sudo aux VM.
  • Vous devez noter les clés expirées et supprimer les clés pour les utilisateurs qui ne devraient pas avoir accès à vos VM. Par exemple, si un membre de l'équipe quitte votre projet, vous devez supprimer manuellement ses clés des métadonnées afin qu'il ne puisse plus accéder à vos VM.
  • En outre, une mauvaise spécification de votre gcloud CLI ou de vos appels d'API peut potentiellement effacer toutes les clés SSH publiques de votre projet ou de vos instances, ce qui interromprait les connexions pour les membres de votre projet.
  • Les utilisateurs et les comptes de service autorisés à modifier les métadonnées du projet peuvent ajouter des clés SSH pour toutes les VM du projet, à l'exception des VM qui bloquent les clés SSH au niveau du projet.

Si vous n'êtes pas certain de vouloir gérer vos propres clés, utilisez plutôt les outils Compute Engine pour vous connecter à vos instances.

Étape suivante