Mit öffentlichen SSH-Schlüsseln authentifizieren

Nutzer und Dienstkonten können öffentliche SSH-Schlüssel verwenden, um sich bei Secure Source Manager-Repositories zu authentifizieren. Auf dieser Seite wird beschrieben, wie Sie ein SSH-Schlüsselpaar generieren und es dann als Authentifizierungsmethode in der Secure Source Manager-Weboberfläche hinzufügen.

Secure Source Manager unterstützt die SSH-Schlüsseltypen RSA, ECDSA und Ed25519.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Authentifizierung mit öffentlichen SSH-Schlüsseln benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die für die Authentifizierung mit öffentlichen SSH-Schlüsseln erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Authentifizierung mit öffentlichen SSH-Schlüsseln erforderlich:

  • securesourcemanager.sshkeys.createAny in der Secure Source Manager-Instanz
  • So weisen Sie einem Dienstkonto einen SSH-Schlüssel zu: iam.serviceAccounts.actAs für das Dienstkonto

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Informationen zum Zuweisen von Secure Source Manager-Rollen finden Sie unter Zugriffssteuerung mit IAM und Nutzern Instanzzugriff gewähren.

Schlüsselpaar generieren

Ein SSH-Schlüsselpaar besteht aus einem privaten Schlüssel, der sich auf Ihrem lokalen System befindet, und einem öffentlichen Schlüssel, den Sie bei Google Cloudregistrieren.

Linux oder macOS

  1. Installieren Sie OpenSSH auf Ihrem lokalen System.

  2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:

    ssh-keygen -t KEY_TYPE -C "USER_EMAIL"

    Dabei gilt:

    • USER_EMAIL ist Ihre E-Mail-Adresse.
    • KEY_TYPE ist wahlweise rsa, ecdsa oder ed25519.

    Beispiel:

    ssh-keygen -t rsa -C "user@example.com"

    1. Geben Sie bei Aufforderung einen Speicherort und einen Dateinamen für die Datei mit dem öffentlichen Schlüssel ein. Wenn Sie den Standardspeicherort und ‑dateinamen übernehmen möchten, drücken Sie die Eingabetaste.

    2. Lassen Sie die Passphrase leer und drücken Sie die Eingabetaste.

Windows

  1. Falls nicht, installieren Sie den OpenSSH-Client (in Windows 10 und höher enthalten) und Git für Windows auf Ihrem lokalen System. In der folgenden Anleitung werden OpenSSH und Git für Windows verwendet.

  2. Führen Sie in PowerShell oder der Eingabeaufforderung den folgenden Befehl aus:

    ssh-keygen -t KEY_TYPE -C "USER_EMAIL"

    Wobei:

    • USER_EMAIL ist Ihre E-Mail-Adresse.
    • KEY_TYPE ist wahlweise rsa, ecdsa oder ed25519.

    Beispiel:

    ssh-keygen -t rsa -C "user@example.com"

    1. Geben Sie bei Aufforderung einen Speicherort und einen Dateinamen für die Datei mit dem öffentlichen Schlüssel ein. Wenn Sie den Standardspeicherort und ‑dateinamen (%USERPROFILE%.ssh) akzeptieren möchten, drücken Sie die Eingabetaste.

    2. Lassen Sie die Passphrase leer und drücken Sie die Eingabetaste.

SSH-Schlüssel zum SSH-Agent hinzufügen

Wenn Sie das generierte SSH-Schlüsselpaar verwenden möchten, fügen Sie Ihren Schlüssel dem SSH-Agent hinzu. Wenn Sie Ihren Schlüssel nicht am Standardspeicherort gespeichert haben, kann der SSH-Agent ihn leichter finden, wenn Sie ihn hinzufügen.

Linux oder macOS

  1. Starten Sie ssh-agent im Hintergrund:

    eval "$(ssh-agent -s)"

    Der Befehl gibt die Prozess-ID (PID) des Agenten zurück, z. B.:

    Agent pid 3245

    Je nach Umgebung müssen Sie möglicherweise einen anderen Befehl verwenden, z. B.:

    • Wenn Sie Root-Zugriff verwenden möchten, führen Sie sudo -s -H aus, bevor Sie ssh-agent starten.
    • Wenn Sie ssh-agent direkt ausführen möchten, verwenden Sie exec ssh-agent bash oder exec ssh-agent zsh.

  2. Fügen Sie Ihren privaten SSH-Schlüssel zu ssh-agent hinzu.

    ssh-add ~/.ssh/FILENAME

    Dabei ist FILENAME der Name Ihrer privaten Schlüsseldatei, z. B. id_rsa oder id_ed25519.

Windows

  1. Starten Sie ssh-agent.

    • Wenn Sie Git Bash verwenden, starten Sie ssh-agent:

      eval "$(ssh-agent -s)"

    • Wenn Sie PowerShell oder die Eingabeaufforderung verwenden, starten Sie den Dienst ssh-agent. Führen Sie in PowerShell folgenden Befehl aus:

      Set-Service ssh-agent -StartupType Automatic; Start-Service ssh-agent

  2. Fügen Sie Ihren privaten SSH-Schlüssel zu ssh-agent hinzu.

    • Wenn Sie Git Bash verwenden:

      ssh-add ~/.ssh/FILENAME

    • Wenn Sie PowerShell oder die Eingabeaufforderung verwenden:

      ssh-add $env:USERPROFILE\.ssh\FILENAME

    Dabei ist FILENAME der Name Ihrer privaten Schlüsseldatei, z. B. id_rsa oder id_ed25519.

SSH-Schlüssel für Nutzer hinzufügen

  1. Klicken Sie in der Secure Source Manager-Weboberfläche auf der Instanz- oder Repository-Seite auf das Menü  Weitere Optionen.

  2. Klicken Sie auf Nutzer-SSH-Schlüssel.

    Die Seite Nutzer-SSH-Schlüssel wird geöffnet und eine Liste aller vorhandenen Schlüssel, die Sie erstellt haben, wird angezeigt.

  3. Klicken Sie auf der Seite User SSH keys (SSH-Schlüssel für Nutzer) auf Add key (Schlüssel hinzufügen).

  4. Geben Sie auf der Seite SSH-Schlüssel hinzufügen die folgenden Werte für Ihren Schlüssel ein:

    1. Titel: Fügen Sie einen aussagekräftigen Titel für den Schlüssel hinzu.

    2. Öffentlicher SSH-Schlüssel: Fügen Sie den String Ihres öffentlichen Schlüssels ein. Um den String für den öffentlichen Schlüssel zu erhalten, öffnen Sie die Datei mit dem öffentlichen Schlüssel (FILENAME.pub) in einem Texteditor oder führen Sie einen der folgenden Befehle aus:

      Linux oder macOS 

      cat ~/.ssh/FILENAME.pub

      Windows 

      cat $env:USERPROFILE\.ssh\FILENAME.pub

      Ersetzen Sie FILENAME durch den Namen Ihrer Schlüsseldatei.

Sie können SSH-Schlüssel verwenden, um sich bei jedem Secure Source Manager-Repository zu authentifizieren, sofern Sie die erforderlichen Berechtigungen für dieses Repository haben.

SSH-Schlüssel für Dienstkonten hinzufügen

Wenn Sie programmatischen Zugriff auf Ihr Repository zulassen möchten, können Sie einen SSH-Schlüssel für ein Dienstkonto hinzufügen.

  1. Wenn Sie noch kein Dienstkonto haben, das Sie verwenden möchten, erstellen Sie ein Dienstkonto.
  2. Klicken Sie in der Secure Source Manager-Weboberfläche auf das Menü  Weitere Optionen.
  3. Klicken Sie auf SSH-Schlüssel für Dienstkonten. Die Seite SSH-Schlüssel für Dienstkonten wird geöffnet und eine Liste aller vorhandenen Schlüssel, die Sie hinzugefügt haben, wird angezeigt.
  4. Klicken Sie auf der Seite SSH-Schlüssel für Dienstkonten auf Schlüssel hinzufügen.

  5. Geben Sie auf der Seite SSH-Schlüssel für Dienstkonto hinzufügen die folgenden Werte für Ihren Schlüssel ein:

    1. Titel: Ein beschreibender Titel für den Schlüssel.

    2. Dienstkonto: Die E-Mail-Adresse des Dienstkontos, für das Sie den SSH-Schlüssel verwenden möchten, im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com

      Wo

      • SA_NAME ist der Name des Dienstkontos.
      • PROJECT_ID ist die Projekt-ID des Projekts, in dem das Dienstkonto erstellt wurde.

    3. Öffentlicher SSH-Schlüssel: Ihr öffentlicher SSH-Schlüssel. Informationen zum Generieren eines SSH-Schlüsselpaars finden Sie unter Schlüsselpaar generieren.

  6. Wenn sich das Dienstkonto nicht im selben Projekt wie Ihre Secure Source Manager-Instanz befindet, weisen Sie dem Dienst-Agent von Secure Source Manager eine der folgenden Rollen oder Berechtigungen für das Dienstkonto zu, das Sie verwenden möchten:

    • iam.serviceAccounts.signJwt-Berechtigung
    • Rolle „Ersteller von Dienstkonto-Token“ (roles/iam.serviceAccountTokenCreator)

    Führen Sie den folgenden Befehl aus, um Ihrem Secure Source Manager-Dienstkonto eine IAM-Richtlinie hinzuzufügen und ihm die Rolle „Ersteller von Dienstkonto-Tokens“ zuzuweisen.

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT \
    --member="serviceAccount:service-INSTANCE_PROJECT_NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com" \
    --role="roles/iam.serviceAccountTokenCreator"

    Dabei ist SERVICE_ACCOUNT das Dienstkonto, das Sie verwenden möchten, und INSTANCE_PROJECT_NUMBER die Projektnummer Ihrer Secure Source Manager-Instanz.

    SERVICE_ACCOUNT sollte entweder als numerische Dienstkonto-ID oder als E‑Mail-Adresse formatiert sein, z. B. 123456789876543212345 oder my-iam-account@somedomain.com.

Nächste Schritte