OS 로그인으로 보안 키 사용 설정

콘솔

모든 OS 로그인 사용 VM에 보안 키를 사용 설정하려면 Google Cloud 콘솔을 사용하여 프로젝트 메타데이터에서 enable-oslogin 및 enable-oslogin-sk를 TRUE로 설정하세요.

1. 메타데이터 페이지로 이동합니다.

   메타데이터로 이동

2. 수정을 클릭합니다.

3. 항목 추가를 클릭합니다.

   1. 키 필드에 enable-oslogin을 입력합니다.
   2. 값 필드에 TRUE를 입력합니다.

4. 항목 추가를 클릭합니다.

   1. 키 필드에 enable-oslogin-sk을 입력합니다.
   2. 값 필드에 TRUE를 입력합니다.

5. 저장을 클릭합니다.

gcloud

모든 OS 로그인 사용 VM에 보안 키를 사용 설정하려면 gcloud compute project-info add-metadata 명령어를 사용하여 프로젝트 메타데이터에 enable-oslogin=TRUE 및 enable-oslogin-sk=TRUE를 설정하세요.

gcloud compute project-info add-metadata \
    --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE

콘솔

단일 VM에서 보안 키를 사용 설정하려면 Google Cloud 콘솔을 사용하여 인스턴스 메타데이터에서 enable-oslogin 및 enable-oslogin-sk를 TRUE로 설정합니다.

1. VM 인스턴스 페이지로 이동합니다.

   VM 인스턴스로 이동

2. 보안 키를 사용 설정할 VM의 이름을 클릭합니다.

3. 수정을 클릭합니다.

4. 메타데이터 섹션에서 항목 추가를 클릭합니다.

   1. 키 필드에 enable-oslogin을 입력합니다.
   2. 값 필드에 TRUE를 입력합니다.

5. 항목 추가를 클릭합니다.

   1. 키 필드에 enable-oslogin-sk을 입력합니다.
   2. 값 필드에 TRUE를 입력합니다.

6. 저장을 클릭합니다.

gcloud

단일 VM에서 보안 키를 사용 설정하려면 gcloud compute instances add-metadata 명령어를 사용하여 인스턴스 메타데이터에 enable-oslogin=TRUE 및 enable-oslogin-sk=TRUE를 설정합니다.

gcloud compute instances add-metadata VM_NAME \
    --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE

VM_NAME을 VM 이름으로 바꿉니다.

콘솔

Google Cloud 콘솔의 브라우저에서 SSH를 통해 연결 도구를 사용하여 VM에 연결하면 브라우저에서 SSH를 통해 연결 도구에서 보안 키와 연결된 비공개 키를 가져옵니다.

보안 키가 사용 설정된 VM에 연결하려면 다음을 수행합니다.

1. Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.

2. VM 목록에서 연결할 VM 행의 SSH를 클릭합니다.

3. 메시지가 표시되면 보안 키를 터치합니다.

gcloud

gcloud CLI를 사용하여 VM에 연결하면 gcloud CLI에서 보안 키와 연결된 비공개 키를 검색하고 비공개 키 파일을 구성합니다. 이 구성은 영구적이며 보안 키를 사용하는 모든 VM에 적용됩니다.

gcloud beta compute ssh 명령어를 사용하여 보안 키 사용 VM에 연결하세요.

gcloud beta compute ssh VM_NAME

서드파티 도구

보안 키가 사용 설정된 VM에 연결하기 전에 보안 키와 연결된 비공개 키를 검색하고 비공개 키 파일을 구성해야 합니다. 이 예시에서는 Python 클라이언트 라이브러리를 사용하여 구성을 수행합니다.

VM에 처음 연결할 때에만 이 구성을 수행해야 합니다. 구성은 영구적이며 프로젝트의 보안 키를 사용하는 모든 VM에 적용됩니다.

워크스테이션의 터미널에서 다음을 수행합니다.

1. Python용 Google 클라이언트 라이브러리가 아직 설치되지 않은 경우 다음 명령을 실행하여 설치합니다.

   pip3 install google-api-python-client
   

2. 다음 샘플 Python 스크립트를 저장합니다. 이 스크립트는 보안 키와 연결된 비공개 키를 검색하여 비공개 키 파일을 구성하고 VM에 연결합니다.

   compute/oslogin/physical_security_key_ssh.py

   GitHub에서 보기 의견 보내기

   import argparse
   import os
   import subprocess
   from typing import Optional
   
   import googleapiclient.discovery
   
   def write_ssh_key_files(security_keys: list[dict], directory: str) -> list[str]:
       """
       Store the SSH key files.
   
       Saves the SSH keys into files inside specified directory. Using the naming
       template of `google_sk_{i}`.
   
       Args:
           security_keys: list of dictionaries representing security keys retrieved
               from the OSLogin API.
           directory: path to directory in which the security keys will be stored.
   
       Returns:
           List of paths to the saved keys.
       """
       key_files = []
       for index, key in enumerate(security_keys):
           key_file = os.path.join(directory, f"google_sk_{index}")
           with open(key_file, "w") as f:
               f.write(key.get("privateKey"))
               os.chmod(key_file, 0o600)
               key_files.append(key_file)
       return key_files
   
   def ssh_command(key_files: list[str], username: str, ip_address: str) -> list[str]:
       """
       Construct the SSH command for a given IP address and key files.
   
       Args:
           key_files: SSH keys to be used for authentication.
           username: username used to authenticate.
           ip_address: the IP address or hostname of the remote system.
   
       Returns:
           SSH command as a list of strings.
       """
       command = ["ssh"]
       for key_file in key_files:
           command.extend(["-i", key_file])
       command.append(f"{username}@{ip_address}")
       return command
   
   def main(
       user_key: str, ip_address: str, dryrun: bool, directory: Optional[str] = None
   ) -> None:
       """
       Configure SSH key files and print SSH command.
   
       Args:
           user_key: name of the user you want to authenticate as. Usually an email address.
           ip_address: the IP address of the machine you want to connect to.
           dryrun: bool flag to do dry run, without connecting to the remote machine.
           directory: the directory to store SSH private keys.
       """
       directory = directory or os.path.join(os.path.expanduser("~"), ".ssh")
   
       # Create the OS Login API object.
       oslogin = googleapiclient.discovery.build("oslogin", "v1beta")
   
       # Retrieve security keys and OS Login username from a user's Google account.
       profile = (
           oslogin.users()
           .getLoginProfile(name=f"users/{user_key}", view="SECURITY_KEY")
           .execute()
       )
   
       if "posixAccounts" not in profile:
           print("You don't have a POSIX account configured.")
           print("Please make sure that you have enabled OS Login for your VM.")
           return
   
       username = profile.get("posixAccounts")[0].get("username")
   
       # Write the SSH private key files.
       security_keys = profile.get("securityKeys")
   
       if security_keys is None:
           print(
               "The account you are using to authenticate does not have any security keys assigned to it."
           )
           print(
               "Please check your Application Default Credentials "
               "(https://cloud.google.com/docs/authentication/application-default-credentials)."
           )
           print(
               "More info about using security keys: https://cloud.google.com/compute/docs/oslogin/security-keys"
           )
           return
   
       key_files = write_ssh_key_files(security_keys, directory)
   
       # Compose the SSH command.
       command = ssh_command(key_files, username, ip_address)
   
       if dryrun:
           # Print the SSH command.
           print(" ".join(command))
       else:
           # Connect to the IP address over SSH.
           subprocess.call(command)
   
   if __name__ == "__main__":
       parser = argparse.ArgumentParser(
           description=__doc__, formatter_class=argparse.RawDescriptionHelpFormatter
       )
       parser.add_argument("--user_key", help="Your primary email address.")
       parser.add_argument(
           "--ip_address", help="The external IP address of the VM you want to connect to."
       )
       parser.add_argument("--directory", help="The directory to store SSH private keys.")
       parser.add_argument(
           "--dryrun",
           dest="dryrun",
           default=False,
           action="store_true",
           help="Turn off dryrun mode to execute the SSH command",
       )
       args = parser.parse_args()
   
       main(args.user_key, args.ip_address, args.dryrun, args.directory)

3. 스크립트를 실행하여 키를 구성하고 원하는 경우 VM에 연결합니다.

   python3 SCRIPT_NAME.py --user_key=USER_KEY --ip_address=IP_ADDRESS [--dryrun]
   

   다음을 바꿉니다.

   • SCRIPT_NAME: 구성 스크립트의 이름
   • USER_KEY: 기본 이메일 주소
   • IP_ADDRESS: 연결할 VM의 외부 IP 주소
   • [--dryrun]: (선택사항) --dryrun 플래그를 추가하여 VM에 연결하지 않고 연결 명령어를 출력합니다. 이 플래그를 지정하지 않으면 스크립트에서 연결 명령어를 실행합니다.