Zugriffsmethode auswählen

---

Wenn Linux-VM-Instanzen in Google Cloud ausgeführt werden, müssen Sie den Nutzer- oder Anwendungszugriff möglicherweise auf Ihre VMs freigeben oder einschränken.

• Wenn Sie den Nutzerzugriff auf die Linux-VM-Instanzen verwalten müssen, haben Sie dazu folgende Möglichkeiten:

  • OS Login
  • SSH-Schlüssel in Metadaten verwalten
  • Nutzer vorübergehend Zugriff auf eine Instanz gewähren

• Weitere Informationen zum Verwalten des Anwendungszugriffs auf Ihre VM-Instanzen finden Sie im Thema zum Verwenden von SSH mit Dienstkonten.

Nutzerzugriff verwalten

OS Login

Meist empfehlen wir die Verwendung von OS Login. Mit dem Feature "OS Login" können Sie den SSH-Zugriff auf Linux-Instanzen über Compute Engine-IAM-Rollen verwalten. Zur weiteren Erhöhung der Sicherheit können Sie OS Login mit 2-Faktor-Authentifizierung einrichten und den Zugriff auf Organisationsebene durch das Einrichten von Organisationsrichtlinien verwalten.

Informationen zum Aktivieren von OS Login finden Sie unter OS Login einrichten.

SSH-Schlüssel in Metadaten verwalten

Wenn Sie einen eigenen Verzeichnisdienst für die Zugriffsverwaltung ausführen oder aus einem anderen Grund OS Login nicht einrichten können, haben Sie die Möglichkeit, SSH-Schlüssel in Metadaten manuell zu verwalten.

Risiken der manuellen Schlüsselverwaltung

Zu den Risiken der manuellen SSH-Schlüsselverwaltung gehören unter anderem:

• Alle Nutzer, die über in Metadaten gespeicherte SSH-Schlüssel eine Verbindung zu VMs herstellen, haben sudo-Zugriff auf VMs.
• Sie müssen abgelaufene Schlüssel verfolgen und Schlüssel für Nutzer löschen, die keinen Zugriff auf Ihre VMs haben sollen. Wenn beispielsweise ein Teammitglied Ihr Projekt verlässt, müssen Sie die Schlüssel manuell aus den Metadaten entfernen, damit das Teammitglied nicht mehr auf Ihre VMs zugreifen kann.
• Darüber hinaus können durch Aufrufe mit falschen Angaben in der gcloud CLI oder der API alle öffentlichen SSH-Schlüssel in Ihrem Projekt oder auf Ihren VMs gelöscht werden, was zur Unterbrechung der Verbindungen Ihrer Projektmitglieder führt.
• Nutzer und Dienstkonten, die in der Lage sind, Projektmetadaten zu ändern, können SSH-Schlüssel für alle VMs im Projekt hinzufügen, mit Ausnahme von VMs, die SSH-Schlüssel auf Projektebene blockieren.

Wenn Sie sich nicht sicher sind, ob Sie Ihre Schlüssel selbst verwalten sollten, verwenden Sie stattdessen die Compute Engine-Tools, um eine Verbindung zu Ihren Instanzen herzustellen.

Nächste Schritte

• OS Login einrichten
• SSH-Schlüssel erstellen
• SSH-Schlüssel zu VMs hinzufügen
• SSH-Schlüssel von VMs einschränken