En este documento, se describe cómo usar las llaves de seguridad físicas registradas en tu Cuenta de Google para conectarte a instancias de máquinas virtuales (VM) que usan Acceso al SO.
La llaves de seguridad física se usa para generar archivos de claves SSH privadas para conectarte a las VMs. Cuando usas la herramienta SSH en el navegador de la consola de Google Cloud o Google Cloud CLI para conectarte a las VMs mediante llaves de seguridad, el Acceso al SO recupera el archivo de claves SSH privadas asociado con tu llave de seguridad y configura el archivo de claves SSH por ti. Cuando usas herramientas de terceros para conectarte, debes usar la API de Acceso al SO a fin de recuperar la información de Llave SSH y configurar el archivo de clave SSH tú mismo.
Antes de comenzar
- Agrega una llave de seguridad a la Cuenta de Google.
- Configura el Acceso al SO.
-
Si aún no lo hiciste, configura la autenticación.
La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud.
Para ejecutar un código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine de la siguiente manera.
Selecciona la pestaña para saber cómo planeas usar las muestras en esta página:
Consola
Cuando usas la consola de Google Cloud para acceder a los servicios y las APIs de Google Cloud, no necesitas configurar la autenticación.
gcloud
-
Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
gcloud init
- Configura una región y una zona predeterminadas.
REST
Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.
Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
gcloud init
-
Limitaciones
- Las VMs que tienen llaves de seguridad habilitadas solo aceptan conexiones de claves SSH conectadas a las llaves de seguridad físicas registradas en tu cuenta de Google.
La VM a la que te conectas y la estación de trabajo desde la que te conectas deben usar una versión de OpenSSH 8.2 o posterior que sea compatible con los tipos de llave de seguridad SSH. Los siguientes sistemas operativos de VM de Compute Engine son compatibles con las llaves de seguridad:
- Debian 11 (o una versión posterior)
- SUSE Linux Enterprise Server (SLES) 15 (o versiones posteriores)
- Ubuntu 20.04 LTS (o posterior)
- LTS de Container-Optimized OS 93 (o posterior)
- Rocky Linux 9 (o posterior)
Para verificar si tu entorno admite claves de seguridad, ejecuta el siguiente comando:
ssh -Q key | grep ^sk-
Si el comando no muestra ningún resultado, tu entorno no admite claves de seguridad.
Habilita las llaves de seguridad con el Acceso al SO
Puedes habilitar el uso de llaves de seguridad para todas las VM que usan el Acceso al SO en tu proyecto o para VM individuales.
Habilita llaves de seguridad para todas las VM que tienen Acceso al SO habilitado en un proyecto
Para habilitar las llaves de seguridad en todas las VMs que usan el Acceso al SO en tu proyecto, usa la consola de Google Cloud o la CLI de gcloud.
Console
A fin de habilitar las llaves de seguridad para todas las VM que tienen habilitado el Acceso al SO, usa la consola de Google Cloud a fin de configurar enable-oslogin
y enable-oslogin-sk
como TRUE
en los metadatos del proyecto:
Ve a la página Metadatos.
Haz clic en Edit.
Haz clic en Agregar elemento.
- En el campo Clave, ingresa
enable-oslogin
. - En el campo Valor, ingresa
TRUE
.
- En el campo Clave, ingresa
Haz clic en Agregar elemento.
- En el campo Clave, ingresa
enable-oslogin-sk
. - En el campo Valor, ingresa
TRUE
.
- En el campo Clave, ingresa
Haz clic en Guardar.
gcloud
A fin de habilitar las llaves de seguridad para todas las VM que tienen habilitado el Acceso al SO, usa el comando gcloud compute project-info add-metadata
a fin de configurar enable-oslogin=TRUE
y enable-oslogin-sk=TRUE
en los metadatos del proyecto:
gcloud compute project-info add-metadata \ --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE
Habilita llaves de seguridad en una sola VM que tenga habilitado el Acceso al SO
Para habilitar las llaves de seguridad en una VM que usa el Acceso al SO, usa la consola de Google Cloud o la CLI de gcloud.
Console
Si deseas habilitar las llaves de seguridad en una sola VM, usa la consola de Google Cloud para establecer enable-oslogin
y enable-oslogin-sk
en TRUE
en los metadatos de la instancia:
Ve a la página Instancias de VM.
Haz clic en el nombre de la VM para la que quieres habilitar las llaves de seguridad.
Haz clic en Edit.
En la sección Metadatos, haz clic en Agregar elemento.
- En el campo Clave, ingresa
enable-oslogin
. - En el campo Valor, ingresa
TRUE
.
- En el campo Clave, ingresa
Haz clic en Agregar elemento.
- En el campo Clave, ingresa
enable-oslogin-sk
. - En el campo Valor, ingresa
TRUE
.
- En el campo Clave, ingresa
Haz clic en Guardar.
gcloud
Para habilitar las llaves de seguridad en una sola VM, usa el comando gcloud compute instances add-metadata
a fin de configurar enable-oslogin=TRUE
y enable-oslogin-sk=TRUE
en los metadatos de la instancia:
gcloud compute instances add-metadata VM_NAME \ --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE
Reemplaza VM_NAME
por el nombre de tu VM.
Conéctate a una VM mediante una llave de seguridad
Puedes conectarte a una VM que use llaves de seguridad mediante la consola de Google Cloud, la CLI de gcloud o herramientas de terceros. Si te conectas a las VMs mediante la consola de Google Cloud o la CLI de gcloud, Compute Engine configura tu clave SSH por ti. Si te conectas a las VMs con herramientas de terceros, debes realizar la configuración tú mismo.
Console
Cuando te conectas a las VMs mediante la herramienta SSH en el navegador de la consola de Google Cloud, SSH en el navegador recupera las claves privadas asociadas con tus llaves de seguridad.
Para conectarte a una VM que tiene habilitadas las llaves de seguridad, haz lo siguiente:
En la consola de Google Cloud, ve a la página Instancias de VM.
En la lista de VMs, haz clic en SSH en la fila de la VM a la que deseas conectarte.
Toca la llave de seguridad cuando se te indique.
gcloud
Cuando te conectas a las VMs mediante la CLI de gcloud, esta recupera las claves privadas asociadas con tus llaves de seguridad y configura los archivos de claves privadas. Esta configuración es persistente y se aplica a todas las VMs que usan llaves de seguridad.
Usa el comando gcloud beta compute ssh
para conectarte a una VM que tenga habilitadas las llaves de seguridad:
gcloud beta compute ssh VM_NAME
Herramientas de terceros
Antes de conectarte a una VM que tiene habilitadas las llaves de seguridad, debes recuperar las claves privadas asociadas con tus llaves de seguridad y configurar los archivos de claves privadas. En este ejemplo, se usa la biblioteca cliente de Python para realizar la configuración.
Solo necesitas realizar esta configuración la primera vez que te conectas a una VM. La configuración es persistente y se aplica a todas las VM que usan llaves de seguridad en tu proyecto.
Desde una terminal en tu estación de trabajo, haz lo siguiente:
Instala la biblioteca cliente de Google para Python si aún no lo has hecho, con el siguiente comando:
pip3 install google-api-python-client
Guarda la siguiente secuencia de comandos de Python de muestra, que recupera las claves privadas asociadas con tus llaves de seguridad, configura los archivos de claves privadas y se conecta a la VM.
Ejecuta la secuencia de comandos para configurar tus claves y, de manera opcional, conéctate a la VM.
python3 SCRIPT_NAME.py --user_key=USER_KEY --ip_address=IP_ADDRESS [--dryrun]
Reemplaza lo siguiente:
SCRIPT_NAME
: Es el nombre de la secuencia de comandos de configuración.USER_KEY
: Tu dirección de correo electrónico principal.IP_ADDRESS
: La dirección IP externa de la VM a la que te conectas.[--dryrun]
: Agrega la marca--dryrun
para imprimir el comando de conexión sin conectarte a la VM (opcional). Si no especificas esta marca, la secuencia de comandos ejecuta el comando de conexión.
Próximos pasos
- Obtén información sobre cómo configurar el Acceso al SO con la verificación en dos pasos.
- Obtén información sobre cómo administrar el Acceso al SO en una organización.