Gli utenti e i service account possono utilizzare le chiavi pubbliche SSH per l'autenticazione ai repository Secure Source Manager. Questa pagina descrive come generare una coppia di chiavi SSH e poi aggiungerla come metodo di autenticazione nell'interfaccia web di Secure Source Manager.
Secure Source Manager supporta i tipi di chiavi SSH RSA, ECDSA ed Ed25519.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per l'autenticazione tramite chiavi pubbliche SSH, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Per aggiungere una chiave SSH per un utente:
Secure Source Manager Instance Accessor (
roles/securesourcemanager.instanceAccessor) nell'istanza Secure Source Manager -
Per aggiungere una chiave SSH per un account di servizio:
-
Gestore di istanze Secure Source Manager (
roles/securesourcemanager.instanceManager) nell'istanza Secure Source Manager -
Utente service account (
roles/iam.serviceAccountUser) nel account di servizio
-
Gestore di istanze Secure Source Manager (
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per l'autenticazione tramite chiavi pubbliche SSH. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per l'autenticazione tramite chiavi pubbliche SSH sono necessarie le seguenti autorizzazioni:
-
securesourcemanager.sshkeys.createAny -
Per assegnare una chiave SSH a un account di servizio:
iam.serviceAccounts.actAs
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Per informazioni sulla concessione dei ruoli Secure Source Manager, consulta Controllo dell'accesso con IAM e Concedere agli utenti l'accesso all'istanza.
Genera una coppia di chiavi
Una coppia di chiavi SSH è costituita da una chiave privata che risiede nel tuo sistema locale e da una chiave pubblica che registri in Google Cloud.
Linux o macOS
Installa OpenSSH sul tuo sistema locale.
Al prompt dei comandi, inserisci questo comando:
ssh-keygen -t [KEY_TYPE] -C "[USER_EMAIL]"Dove:
[USER_EMAIL]è il tuo indirizzo email.[KEY_TYPE]è uno trarsa,ecdsaoed25519.
Ad esempio:
ssh-keygen -t rsa -C "user@example.com"Quando ti viene chiesto, inserisci una posizione e un nome file per il file della chiave pubblica. Per accettare la posizione e il nome file predefiniti, premi Invio.
Quando ti viene richiesto, lascia la passphrase vuota e premi Invio.
Windows
Installa PuTTY sul tuo sistema locale.
Nel menu Start di Windows, avvia PuTTYGen.
Nella finestra che si apre, seleziona il tipo di chiave dal campo Parametri.
Fai clic su Genera.
PuTTYGen mostra la stringa della chiave pubblica generata.
Quando ti viene richiesto, lascia la passphrase vuota e premi Invio.
Per salvare la coppia di chiavi generata nel sistema locale, fai clic su Salva chiave pubblica e Salva chiave privata.
Aggiungere chiavi SSH per gli utenti
- Nell'interfaccia web di Secure Source Manager, dalla pagina dell'istanza o del repository, fai clic sul menu Altre opzioni.
Fai clic su Chiavi SSH utente.
Si apre la pagina Chiavi SSH utente e viene visualizzato un elenco delle chiavi esistenti che hai creato.
Nella pagina Chiavi SSH utente, fai clic su Aggiungi chiave.
Nella pagina Aggiungi chiave SSH, inserisci i seguenti valori per la chiave:
- Titolo: aggiungi un titolo descrittivo per la chiave.
- Chiave pubblica SSH: incolla la stringa della chiave pubblica. Per ottenere la stringa della chiave pubblica, esegui questo comando:
cat ~/.ssh/FILENAME.pubDove
FILENAMEè il nome che hai dato al file della chiave.
Puoi utilizzare le chiavi SSH per l'autenticazione in qualsiasi repository Secure Source Manager, a condizione che tu disponga delle autorizzazioni necessarie per quel repository.
Aggiungere chiavi SSH per i service account
Per consentire l'accesso programmatico al repository, puoi aggiungere una chiave SSH per un account di servizio.
- Se non hai ancora un account di servizio da utilizzare, creane uno.
- Nell'interfaccia web di Secure Source Manager, fai clic sul menu Altre opzioni.
- Fai clic su Chiavi SSH dell'account di servizio. Si apre la pagina Chiavi SSH del service account e viene visualizzato un elenco delle chiavi esistenti che hai aggiunto.
- Nella pagina Chiavi SSH dell'account di servizio, fai clic su Aggiungi chiave.
Nella pagina Aggiungi chiave SSH service account, inserisci i seguenti valori per la chiave:
- Titolo: un titolo descrittivo per la chiave
Service account: l'email del account di servizio per il service account in cui vuoi utilizzare la chiave SSH nel formato
SA_NAME@PROJECT_ID.iam.gserviceaccount.comDove
SA_NAMEè il nome del account di servizio.PROJECT_IDè l'ID progetto del progetto in cui è stato creato il service account.
Chiave pubblica SSH: la tua chiave pubblica SSH. Per informazioni su come generare una coppia di chiavi SSH, consulta Generare una coppia di chiavi.
Se il account di servizio non si trova nello stesso progetto dell'istanza Secure Source Manager, concedi all'agente di servizio di Secure Source Manager uno dei seguenti ruoli o autorizzazioni per il account di servizio che vuoi utilizzare:
iam.serviceAccounts.signJwtautorizzazione- Ruolo Creatore token service account (
roles/iam.serviceAccountTokenCreator)
Esegui il comando seguente per aggiungere un criterio IAM al account di servizio Secure Source Manager per concedergli il ruolo Creatore token service account.
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT \ --member="serviceAccount:service-INSTANCE_PROJECT_NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"dove SERVICE_ACCOUNT è il account di servizio che vuoi utilizzare e INSTANCE_PROJECT_NUMBER è il numero di progetto della tua istanza di Secure Source Manager.
SERVICE_ACCOUNT deve essere formattato come ID account di servizio numerico o come email, ad esempio: 123456789876543212345 o my-iam-account@somedomain.com.