En este documento, se describe cómo usar las llaves de seguridad físicas registradas en tu Cuenta de Google para conectarte a instancias de máquinas virtuales (VM) que usan Acceso al SO.
La llaves de seguridad física se usa para generar archivos de claves SSH privadas para conectarte a las VMs. Cuando usas la herramienta SSH en el navegador de la consola de Google Cloud o Google Cloud CLI para conectarte a las VMs mediante llaves de seguridad, el Acceso al SO recupera el archivo de claves SSH privadas asociado con tu llave de seguridad y configura el archivo de claves SSH por ti. Cuando usas herramientas de terceros para conectarte, debes usar la API de Acceso al SO a fin de recuperar la información de Llave SSH y configurar el archivo de clave SSH tú mismo.
Antes de comenzar
- Agrega una llave de seguridad a la Cuenta de Google.
- Configura el Acceso al SO.
-
Si aún no lo hiciste, configura la autenticación.
La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud.
Para ejecutar un código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine de la siguiente manera.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- Las VMs que tienen llaves de seguridad habilitadas solo aceptan conexiones de claves SSH conectadas a las llaves de seguridad físicas registradas en tu cuenta de Google.
- No puedes usar Cloud Shell para conectarte a VMs que tengan habilitadas las llaves de seguridad.
La VM a la que te conectas y la estación de trabajo desde la que te conectas deben usar una versión de OpenSSH 8.2 o posterior que sea compatible con los tipos de llave de seguridad SSH. Los siguientes sistemas operativos de VM de Compute Engine son compatibles con las llaves de seguridad:
- Debian 11 (o una versión posterior)
- SUSE Linux Enterprise Server (SLES) 15 (o versiones posteriores)
- Ubuntu 20.04 LTS (o posterior)
- LTS de Container-Optimized OS 93 (o posterior)
- Rocky Linux 9 (o posterior)
Para verificar si tu entorno admite claves de seguridad, ejecuta el siguiente comando:
ssh -Q key | grep ^sk-
Si el comando no muestra ningún resultado, tu entorno no admite claves de seguridad.
El cliente SSH de la estación de trabajo desde la que te conectas debe admitir llaves de seguridad e incluir las bibliotecas necesarias, como
libfido2
.Ve a la página Metadatos.
Haz clic en Editar.
Haz clic en Agregar elemento.
- En el campo Clave, ingresa
enable-oslogin
. - En el campo Valor, ingresa
TRUE
.
- En el campo Clave, ingresa
Haz clic en Agregar elemento.
- En el campo Clave, ingresa
enable-oslogin-sk
. - En el campo Valor, ingresa
TRUE
.
- En el campo Clave, ingresa
Haz clic en Guardar.
Ve a la página Instancias de VM.
Haz clic en el nombre de la VM para la que quieres habilitar las llaves de seguridad.
Haz clic en Editar.
En la sección Metadatos, haz clic en Agregar elemento.
- En el campo Clave, ingresa
enable-oslogin
. - En el campo Valor, ingresa
TRUE
.
- En el campo Clave, ingresa
Haz clic en Agregar elemento.
- En el campo Clave, ingresa
enable-oslogin-sk
. - En el campo Valor, ingresa
TRUE
.
- En el campo Clave, ingresa
Haz clic en Guardar.
En la consola de Google Cloud, ve a la página Instancias de VM.
En la lista de VMs, haz clic en SSH en la fila de la VM a la que deseas conectarte.
Cuando se te solicite, toca la llave de seguridad.
Instala la biblioteca cliente de Google para Python si aún no lo has hecho, con el siguiente comando:
pip3 install google-api-python-client
Guarda la siguiente secuencia de comandos de Python de muestra, que recupera las claves privadas asociadas con tus llaves de seguridad, configura los archivos de claves privadas y se conecta a la VM.
Ejecuta la secuencia de comandos para configurar tus claves y, de manera opcional, conéctate a la VM.
python3 SCRIPT_NAME.py --user_key=USER_KEY --ip_address=IP_ADDRESS [--dryrun]
Reemplaza lo siguiente:
SCRIPT_NAME
: Es el nombre de la secuencia de comandos de configuración.USER_KEY
: Tu dirección de correo electrónico principal.IP_ADDRESS
: La dirección IP externa de la VM a la que te conectas.[--dryrun]
: Agrega la marca--dryrun
para imprimir el comando de conexión sin conectarte a la VM (opcional). Si no especificas esta marca, la secuencia de comandos ejecuta el comando de conexión.
- Obtén información sobre cómo configurar el Acceso al SO con la verificación en dos pasos.
- Obtén información sobre cómo administrar el Acceso al SO en una organización.
REST
Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.
Limitaciones
Habilita las llaves de seguridad con el Acceso al SO
Puedes habilitar el uso de llaves de seguridad para todas las VM que usan el Acceso al SO en tu proyecto o para VM individuales.
Habilita llaves de seguridad para todas las VM que tienen Acceso al SO habilitado en un proyecto
Para habilitar las llaves de seguridad en todas las VMs que usan el Acceso al SO en tu proyecto, usa la consola de Google Cloud o la CLI de gcloud.
Console
A fin de habilitar las llaves de seguridad para todas las VM que tienen habilitado el Acceso al SO, usa la consola de Google Cloud a fin de configurar
enable-oslogin
yenable-oslogin-sk
comoTRUE
en los metadatos del proyecto:gcloud
A fin de habilitar las llaves de seguridad para todas las VM que tienen habilitado el Acceso al SO, usa el comando
gcloud compute project-info add-metadata
a fin de configurarenable-oslogin=TRUE
yenable-oslogin-sk=TRUE
en los metadatos del proyecto:gcloud compute project-info add-metadata \ --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE
Habilita llaves de seguridad en una sola VM que tenga habilitado el Acceso al SO
Para habilitar las llaves de seguridad en una VM que usa el Acceso al SO, usa la consola de Google Cloud o la CLI de gcloud.
Console
Si deseas habilitar las llaves de seguridad en una sola VM, usa la consola de Google Cloud para establecer
enable-oslogin
yenable-oslogin-sk
enTRUE
en los metadatos de la instancia:gcloud
Para habilitar las llaves de seguridad en una sola VM, usa el comando
gcloud compute instances add-metadata
a fin de configurarenable-oslogin=TRUE
yenable-oslogin-sk=TRUE
en los metadatos de la instancia:gcloud compute instances add-metadata VM_NAME \ --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE
Reemplaza
VM_NAME
por el nombre de tu VM.Conéctate a una VM mediante una llave de seguridad
Puedes conectarte a una VM que use llaves de seguridad mediante la consola de Google Cloud, gcloud CLI o herramientas de terceros. Si te conectas a las VMs mediante la consola de Google Cloud o la CLI de gcloud, Compute Engine configura tu clave SSH por ti. Si te conectas a las VMs con herramientas de terceros, debes realizar la configuración tú mismo.
Console
Cuando te conectas a las VMs con la herramienta SSH en el navegador de la consola de Google Cloud, esta recupera las claves privadas asociadas con tus llaves de seguridad.
Para conectarte a una VM que tenga habilitadas las llaves de seguridad, haz lo siguiente:
gcloud
Cuando te conectas a las VMs mediante la CLI de gcloud, esta recupera las claves privadas asociadas con tus llaves de seguridad y configura los archivos de claves privadas. Esta configuración es persistente y se aplica a todas las VMs que usan llaves de seguridad.
Usa el comando
gcloud beta compute ssh
para conectarte a una VM que tenga habilitadas las llaves de seguridad:gcloud beta compute ssh VM_NAME
Herramientas de terceros
Antes de conectarte a una VM que tiene habilitadas las llaves de seguridad, debes recuperar las claves privadas asociadas con tus llaves de seguridad y configurar los archivos de claves privadas. En este ejemplo, se usa la biblioteca cliente de Python para realizar la configuración.
Solo necesitas realizar esta configuración la primera vez que te conectas a una VM. La configuración es persistente y se aplica a todas las VM que usan llaves de seguridad en tu proyecto.
Desde una terminal en tu estación de trabajo, haz lo siguiente:
Próximos pasos
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2024-11-25 (UTC)
-