Escolher uma forma de acesso


Se você tiver instâncias de máquina virtual (VM) do Linux em execução no Google Cloud, talvez seja necessário compartilhar ou restringir o acesso de usuários ou aplicativos às suas VMs.

Como gerenciar o acesso do usuário

Login do SO

Na maioria dos casos, recomendamos usar o Login do SO. O recurso Login do SO permite usar os papéis do IAM do Compute Engine para gerenciar o acesso SSH às instâncias do Linux. É possível adicionar uma camada extra de segurança configurando o login do SO com a autenticação de dois fatores e gerenciar o acesso no nível da organização configurando as políticas da organização.

Para aprender a ativar o Login do SO, consulte Configurar o Login do SO.

Gerenciar chaves SSH em metadados

Se você estiver executando seu próprio serviço de diretório para gerenciar o acesso ou não puder configurar o login do SO, poderá gerenciar manualmente as chaves SSH nos metadados.

Riscos do gerenciamento manual de chaves

Alguns dos riscos do gerenciamento manual de chaves SSH incluem:

  • Todos os usuários que se conectam a VMs usando chaves SSH armazenadas em metadados têm acesso sudo às VMs.
  • É preciso controlar as chaves expiradas e excluir as chaves de usuários que não devem ter acesso às suas VMs. Por exemplo, se um membro da equipe deixar o projeto, você precisará remover manualmente as chaves dos metadados para que ele não possa continuar a acessar suas VMs.
  • Além disso, especificar incorretamente a CLI gcloud ou as chamadas de API pode limpar todas as chaves SSH públicas do projeto ou das instâncias, o que interrompe as conexões dos membros do projeto.
  • Os usuários e as contas de serviço com capacidade de modificar os metadados do projeto podem adicionar chaves SSH a todas as VMs no projeto, exceto às que bloqueiam chaves SSH para envolvidos no projeto.

Se você não tiver certeza de que quer gerenciar suas próprias chaves, use as ferramentas do Compute Engine para se conectar às suas instâncias.

A seguir