Mit öffentlichen SSH-Schlüsseln authentifizieren

Nutzer und Dienstkonten können öffentliche SSH-Schlüssel verwenden, um sich bei Secure Source Manager-Repositories zu authentifizieren. Auf dieser Seite wird beschrieben, wie Sie ein SSH-Schlüsselpaar generieren und es dann als Authentifizierungsmethode in der Secure Source Manager-Weboberfläche hinzufügen.

Secure Source Manager unterstützt die SSH-Schlüsseltypen RSA, ECDSA und Ed25519.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Authentifizierung mit öffentlichen SSH-Schlüsseln benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die für die Authentifizierung mit öffentlichen SSH-Schlüsseln erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Authentifizierung mit öffentlichen SSH-Schlüsseln erforderlich:

  • securesourcemanager.sshkeys.createAny für die Secure Source Manager-Instanz
  • Zum Zuweisen eines SSH-Schlüssels zu einem Dienstkonto: iam.serviceAccounts.actAs für das Dienstkonto

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Informationen zum Zuweisen von Secure Source Manager-Rollen, siehe Zugriffssteuerung mit IAM und Nutzern Instanzzugriff gewähren.

Schlüsselpaar generieren

Ein SSH-Schlüsselpaar besteht aus einem privaten Schlüssel, der sich auf Ihrem lokalen System befindet, und einem öffentlichen Schlüssel, den Sie bei Google Cloud registrieren Google Cloud.

Linux oder macOS

  1. Installieren Sie OpenSSH auf Ihrem lokalen System.

  2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:

    ssh-keygen -t KEY_TYPE -C "USER_EMAIL"

    Dabei gilt:

    • USER_EMAIL ist Ihre E-Mail-Adresse.
    • KEY_TYPE ist wahlweise rsa, ecdsa oder ed25519.

    Beispiel:

    ssh-keygen -t rsa -C "user@example.com"

    1. Geben Sie bei Aufforderung einen Speicherort und einen Dateinamen für die Datei mit dem öffentlichen Schlüssel ein. Drücken Sie die Eingabetaste, um den standardmäßigen Standort und den Standarddateinamen zu übernehmen.

    2. Lassen Sie die Passphrase leer und drücken Sie die Eingabetaste.

Windows

  1. Installieren Sie den OpenSSH-Client (in Windows 10 und höher enthalten) und Git for Windows auf Ihrem lokalen System, falls Sie sie noch nicht haben. In der folgenden Anleitung werden OpenSSH und Git for Windows verwendet.

  2. Führen Sie in einer PowerShell- oder Eingabeaufforderung den folgenden Befehl aus:

    ssh-keygen -t KEY_TYPE -C "USER_EMAIL"

    Dabei gilt:

    • USER_EMAIL ist Ihre E-Mail-Adresse.
    • KEY_TYPE ist wahlweise rsa, ecdsa oder ed25519.

    Beispiel:

    ssh-keygen -t rsa -C "user@example.com"

    1. Geben Sie bei Aufforderung einen Speicherort und einen Dateinamen für die Datei mit dem öffentlichen Schlüssel ein. Drücken Sie die Eingabetaste , um den Standardspeicherort und den Standarddateinamen (`%USERPROFILE%.ssh`) zu übernehmen.

    2. Lassen Sie die Passphrase leer und drücken Sie die Eingabetaste.

SSH-Schlüssel zum SSH-Agent hinzufügen

Wenn Sie das generierte SSH-Schlüsselpaar verwenden möchten, fügen Sie Ihren Schlüssel zum SSH-Agent hinzu. Wenn Sie Ihren Schlüssel nicht am standardmäßigen Speicherort gespeichert haben, hilft das Hinzufügen zum SSH-Agent SSH, den Schlüssel zu finden.

Linux oder macOS

  1. Starten Sie ssh-agent im Hintergrund:

    eval "$(ssh-agent -s)"

    Der Befehl gibt die Prozess-ID (PID) des Agent zurück, z. B.:

    Agent pid 3245

    Je nach Umgebung müssen Sie möglicherweise einen anderen Befehl verwenden, z. B.:

    • Wenn Sie Root-Zugriff verwenden möchten, führen Sie sudo -s -H aus, bevor Sie ssh-agent starten.
    • Wenn Sie ssh-agent direkt ausführen möchten, verwenden Sie exec ssh-agent bash oder exec ssh-agent zsh.

  2. Fügen Sie Ihren privaten SSH-Schlüssel zu ssh-agent hinzu.

    ssh-add ~/.ssh/FILENAME

    Dabei ist FILENAME der Name Ihrer privaten Schlüsseldatei, z. B. id_rsa oder id_ed25519.

Windows

  1. Starten Sie ssh-agent.

    • Wenn Sie Git Bash verwenden, starten Sie ssh-agent:

      eval "$(ssh-agent -s)"

    • Wenn Sie PowerShell oder die Eingabeaufforderung verwenden, starten Sie den Dienst ssh-agent. Führen Sie in PowerShell Folgendes aus:

      Set-Service ssh-agent -StartupType Automatic; Start-Service ssh-agent

  2. Fügen Sie Ihren privaten SSH-Schlüssel zu ssh-agent hinzu.

    • Wenn Sie Git Bash verwenden:

      ssh-add ~/.ssh/FILENAME

    • Wenn Sie PowerShell oder die Eingabeaufforderung verwenden:

      ssh-add $env:USERPROFILE\.ssh\FILENAME

    Dabei ist FILENAME der Name Ihrer privaten Schlüsseldatei, z. B. id_rsa oder id_ed25519.

SSH-Schlüssel für Nutzer hinzufügen

  1. Klicken Sie in der Secure Source Manager-Weboberfläche auf der Instanz- oder Repository-Seite auf das Menü „ Weitere Optionen“.

  2. Klicken Sie auf SSH-Schlüssel für Nutzer.

    Die Seite SSH-Schlüssel für Nutzer wird geöffnet und eine Liste aller vorhandenen Schlüssel, die Sie erstellt haben, wird angezeigt.

  3. Klicken Sie auf der Seite SSH-Schlüssel für Nutzer auf Schlüssel hinzufügen.

  4. Geben Sie auf der Seite SSH-Schlüssel hinzufügen die folgenden Werte für Ihren Schlüssel ein:

    1. Titel: Fügen Sie einen beschreibenden Titel für den Schlüssel hinzu.

    2. Öffentlicher SSH-Schlüssel: Fügen Sie den String Ihres öffentlichen Schlüssels ein. Öffnen Sie die Datei mit dem öffentlichen Schlüssel (FILENAME.pub) in einem Texteditor oder führen Sie einen der folgenden Befehle aus, um den String des öffentlichen Schlüssels zu erhalten:

      Linux oder macOS 

      cat ~/.ssh/FILENAME.pub

      Windows 

      cat $env:USERPROFILE\.ssh\FILENAME.pub

      Ersetzen Sie FILENAME durch den Namen Ihrer Schlüsseldatei.

Sie können SSH-Schlüssel verwenden, um sich bei jedem Secure Source Manager-Repository zu authentifizieren, sofern Sie die erforderlichen Berechtigungen für dieses Repository haben.

SSH-Schlüssel für Dienstkonten hinzufügen

Wenn Sie programmatischen Zugriff auf Ihr Repository zulassen möchten, können Sie einen SSH-Schlüssel für ein Dienstkonto hinzufügen.

  1. Wenn Sie noch kein Dienstkonto haben, das Sie verwenden möchten, erstellen Sie ein Dienstkonto.
  2. Klicken Sie in der Secure Source Manager-Weboberfläche auf das Menü „ Weitere Optionen“.
  3. Klicken Sie auf SSH-Schlüssel für Dienstkonten. Die Seite SSH-Schlüssel für Dienstkonten wird geöffnet und eine Liste aller vorhandenen Schlüssel, die Sie hinzugefügt haben, wird angezeigt.
  4. Klicken Sie auf der Seite SSH-Schlüssel für Dienstkonten auf Schlüssel hinzufügen.

  5. Geben Sie auf der Seite SSH-Schlüssel für Dienstkonto hinzufügen die folgenden Werte für Ihren Schlüssel ein:

    1. Titel: Ein beschreibender Titel für den Schlüssel

    2. Dienstkonto: die E-Mail-Adresse des Dienstkontos, für das Sie den SSH-Schlüssel verwenden möchten, im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com

      Dabei gilt:

      • SA_NAME ist der Name des Dienstkontos.
      • PROJECT_ID ist die Projekt-ID des Projekts, in dem das Dienstkonto erstellt wurde.

    3. Öffentlicher SSH-Schlüssel: Ihr öffentlicher SSH-Schlüssel. Informationen zum Generieren eines SSH-Schlüsselpaars finden Sie unter Schlüsselpaar generieren.

  6. Wenn sich das Dienstkonto nicht im selben Projekt wie Ihre Secure Source Manager-Instanz befindet, weisen Sie dem Dienst-Agent von Secure Source Manager's eine der folgenden Rollen oder Berechtigungen für das Dienstkonto zu, das Sie verwenden möchten:

    • Berechtigung iam.serviceAccounts.signJwt
    • Rolle „Dienstkonto-Token-Ersteller“ (roles/iam.serviceAccountTokenCreator)

    Führen Sie den folgenden Befehl aus, um Ihrem Secure Source Manager-Dienstkonto eine IAM-Richtlinie hinzuzufügen, mit der ihm die Rolle „Dienstkonto-Token-Ersteller“ zugewiesen wird.

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT \
    --member="serviceAccount:service-INSTANCE_PROJECT_NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com" \
    --role="roles/iam.serviceAccountTokenCreator"

    Dabei ist SERVICE_ACCOUNT das Dienstkonto, das Sie verwenden möchten, und INSTANCE_PROJECT_NUMBER ist die Projektnummer Ihrer Secure Source Manager-Instanz.

    Die SERVICE_ACCOUNT sollte entweder als numerische Dienstkonto-ID oder als E-Mail-Adresse formatiert sein, z. B. 123456789876543212345 oder my-iam-account@somedomain.com.

Nächste Schritte