אם יש לכם מופעים של מכונות וירטואליות (VM) של Linux שפועלים ב- Google Cloud, יכול להיות שתצטרכו לשתף את המכונות הווירטואליות או להגביל את הגישה של משתמשים או אפליקציות אליהן.
אם אתם צריכים לנהל את גישת המשתמשים למופעי מכונות וירטואליות של Linux, אתם יכולים להשתמש באחת מהשיטות הבאות:
אם אתם צריכים לנהל את הגישה של האפליקציה למופעי מכונות וירטואליות, תוכלו לעיין במאמר בנושא שימוש ב-SSH עם חשבונות שירות.
ניהול גישת המשתמשים
התחברות OS
ברוב התרחישים, מומלץ להשתמש בOS Login. התכונה OS Login מאפשרת להשתמש בתפקידים ב-Compute Engine IAM כדי לנהל גישת SSH למכונות לינוקס. כדי להוסיף עוד שכבת אבטחה, אפשר להגדיר OS Login באמצעות אימות דו-שלבי ולנהל את הגישה ברמת הארגון באמצעות הגדרת מדיניות הארגון.
מידע נוסף על הפעלת OS Login זמין במאמר הגדרת OS Login.
ניהול מפתחות SSH במטא-נתונים
אם אתם מפעילים שירות ספריות משלכם לניהול גישה, או שאין לכם אפשרות להגדיר את OS Login, אתם יכולים לנהל את מפתחות ה-SSH במטא-נתונים באופן ידני.
הסיכונים בניהול מפתחות ידני
חלק מהסיכונים בניהול ידני של מפתחות SSH:
- לכל המשתמשים שמתחברים למכונות וירטואליות באמצעות מפתחות SSH ששמורים במטא-נתונים יש גישה למכונות הווירטואליות.
sudo - צריך לעקוב אחרי מפתחות שתוקפם פג ולמחוק מפתחות של משתמשים שלא אמורה להיות להם גישה למכונות הווירטואליות. לדוגמה, אם חבר צוות עוזב את הפרויקט, צריך להסיר ידנית את המפתחות שלו מהמטא-נתונים כדי שהוא לא יוכל להמשיך לגשת למכונות הווירטואליות.
- ציון לא נכון של ה-CLI של gcloud או של קריאות ל-API עלול למחוק את כל מפתחות ה-SSH הציבוריים בפרויקט או במכונות הווירטואליות, וכך לשבש את החיבורים של חברי הפרויקט.
- משתמשים וחשבונות שירות שיש להם אפשרות לשנות את המטא-נתונים של הפרויקט יכולים להוסיף מפתחות SSH לכל המכונות הווירטואליות בפרויקט, חוץ ממכונות וירטואליות שחוסמות מפתחות SSH ברמת הפרויקט.
אם אתם לא בטוחים שאתם רוצים לנהל את המפתחות בעצמכם, כדאי להשתמש בכלים של Compute Engine כדי להתחבר למופעים.
מה השלב הבא?
- איך מגדירים OS Login
- איך יוצרים מפתחות SSH
- איך מוסיפים מפתחות SSH למכונות וירטואליות
- איך מגבילים מפתחות SSH ממכונות וירטואליות