选择访问方法 (original) (raw)

选择访问方法

如果您在 Google Cloud上运行 Linux 虚拟机 (VM) 实例，则可能需要共享或限制用户或应用对虚拟机的访问权限。

• 如果您需要管理对 Linux 虚拟机实例的用户访问权限，可以使用以下任一方法：
  • OS Login
  • 管理元数据中的 SSH 密钥
  • 临时授予对实例的用户访问权限
• 如果您需要管理应用对虚拟机实例的访问权限，请参阅将 SSH 与服务账号结合使用。

管理用户访问权限

OS Login

在大多数情况下，我们建议使用 OS Login。 通过 OS Login 功能，您可以使用 Compute Engine IAM 角色来管理对 Linux 实例的 SSH 访问权限。您可以通过使用双重身份验证设置 OS Login 来额外增加一层保护，并通过设置组织政策在组织层级管理访问权限。

如需了解如何启用 OS Login，请参阅设置 OS Login。

管理元数据中的 SSH 密钥

如果您运行自己的目录服务来管理访问权限，或者无法设置 OS Login，则可以手动管理元数据中的 SSH 密钥。

手动管理密码的风险

手动管理 SSH 密钥的一些风险包括：

• 使用存储在元数据中的 SSH 密钥连接虚拟机的所有用户都具有对虚拟机的 sudo 访问权限。
• 您必须跟踪过期的密钥并删除不应访问您的虚拟机的用户的密钥。例如，如果某位团队成员离开了您的项目，您必须手动从元数据中移除其密钥，使其无法再访问您的虚拟机。
• 如果指定的 gcloud CLI 或 API 调用不正确，则系统有可能擦除您的项目或实例中的所有 SSH 公钥，导致项目成员的连接中断。
• 能够修改项目元数据的用户和服务账号可以为项目中的所有虚拟机添加 SSH 密钥，但屏蔽项目级 SSH 密钥的虚拟机除外。

如果您不确定是否要自行管理密钥，请使用 Compute Engine 工具连接到您的实例。

后续步骤

• 了解如何设置 OS Login。
• 了解如何创建 SSH 密钥。
• 了解如何将 SSH 密钥添加到虚拟机
• 了解如何限制来自虚拟机的 SSH 密钥。

如未另行说明，那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可，并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情，请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。

最后更新时间 (UTC)：2025-06-12。