Choisir une méthode d'accès

Si vous avez des instances de machine virtuelle (VM) Linux exécutées sur Google Cloud, il vous faudra peut-être partager ou restreindre l'accès des utilisateurs ou des applications à ces VM.

• Si vous devez gérer l'accès des utilisateurs à vos instances de VM Linux, vous pouvez utiliser l'une des méthodes suivantes :

  • OS Login
  • Gérer des clés SSH dans les métadonnées
  • Autoriser temporairement un utilisateur à accéder à une instance

• Si vous devez gérer l'accès des applications à vos instances de VM, consultez Utiliser SSH avec des comptes de service.

Gérer l'accès des utilisateurs

OS Login

Dans la plupart des cas, nous vous recommandons d'utiliser OS Login. Cette fonctionnalité vous permet d'utiliser les rôles IAM Compute Engine pour gérer l'accès SSH aux instances Linux. Vous pouvez ajouter un niveau de sécurité supplémentaire en configurant OS Login avec une authentification à deux facteurs, et gérer l'accès au niveau de l'organisation en configurant des règles d'administration.

Pour savoir comment activer OS Login, consultez Configurer OS Login.

Gérer des clés SSH dans les métadonnées

Si vous exécutez votre propre service d'annuaire pour gérer l'accès ou si vous ne parvenez pas à configurer OS Login, vous pouvez gérer manuellement les clés SSH dans les métadonnées.

Risques liés à la gestion manuelle des clés

Voici certains des risques liés à la gestion manuelle des clés SSH :

• Tous les utilisateurs qui se connectent à des VM à l'aide de clés SSH stockées dans les métadonnées disposent d'un accès sudo aux VM.
• Vous devez assurer le suivi des clés expirées et supprimer les clés pour les utilisateurs qui ne devraient pas avoir accès à vos VM. Par exemple, si un membre de l'équipe quitte votre projet, vous devez retirer ses clés des métadonnées manuellement afin qu'il ne puisse plus accéder à vos VM.
• En outre, une spécification inappropriée au niveau de votre gcloud CLI ou de vos appels d'API pourrait effacer toutes les clés SSH publiques de votre projet ou de vos VM, ce qui entraînerait l'interruption des connexions pour les membres de votre projet.
• Les utilisateurs et les comptes de service autorisés à modifier les métadonnées du projet peuvent ajouter des clés SSH pour toutes les VM du projet, à l'exception des VM qui bloquent les clés SSH au niveau du projet.

Si vous n'êtes pas certain de vouloir gérer vos propres clés, utilisez plutôt les outils Compute Engine pour vous connecter à vos instances.

Étapes suivantes

• Découvrez comment configurer OS Login.
• Découvrez comment créer des clés SSH.
• Découvrez comment ajouter des clés SSH à des VM.
• Découvrez comment restreindre des clés SSH sur des VM.