Verbindung über Dienstkonten herstellen

In diesem Dokument wird beschrieben, wie Sie ein Dienstkonto verwenden, um über SSH eine Verbindung zu Compute Engine-VM-Instanzen herzustellen. Durch die Einrichtung von SSH für ein Dienstkonto können Sie Anwendungen für die Verwendung von SSH konfigurieren und so Ihre Arbeitslasten automatisieren.

Hinweise

Erstellen Sie ein Dienstkonto.
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei Compute Engine authentifizieren.
1. Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
```
gcloud init
```
  Hinweis: Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die neueste Version haben, indem Sie gcloud components update ausführen.
2. Set a default region and zone.

Als Dienstkonto manuell eine Verbindung zu VMs herstellen

Verwenden Sie eine der folgenden Methoden, um als Dienstkonto eine Verbindung zu VMs herzustellen:

Identität des Dienstkontos direkt übernehmen

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen:

Alle Berechtigungen, die in der Rolle „Dienstkonto-Token-Ersteller” (roles/iam.serviceAccountTokenCreator) für das Dienstkonto enthalten sind. Weitere Informationen zum Zuweisen dieser Rolle für ein einzelnes Dienstkonto finden Sie unter Zugriff auf Dienstkonten verwalten.
Wenn Sie OS Login verwenden, benötigen Sie alle Berechtigungen, die in einer der IAM-Rollen für OS Login für das Dienstkonto enthalten sind.
Wenn Sie OS Login nicht verwenden, benötigt das Dienstkonto auch die Berechtigung compute.projects.setCommonInstanceMetadata.

Verwenden Sie das Flag --impersonate-service-account der gcloud CLI, um mithilfe der Identität eines Dienstkontos direkt eine Verbindung zu einer VM herzustellen. Führen Sie den folgenden Befehl aus, um eine Verbindung zu einer VM als Dienstkonto herzustellen:

gcloud compute ssh VM_NAME \
    --impersonate-service-account=SERVICE_ACCOUNT_EMAIL

Dabei gilt:

VM_NAME: Der Name der VM, als die Sie eine Verbindung zum Dienstkonto herstellen möchten.
SERVICE_ACCOUNT_EMAIL: Die mit dem Dienstkonto verknüpfte E-Mail-Adresse.

Identität eines Dienstkontos von einer VM übernehmen

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen:

Alle Berechtigungen, die in der Rolle „Dienstkontonutzer” (roles/iam.serviceAccountUser) für das Dienstkonto und Ihr Nutzerkonto enthalten sind. Weitere Informationen zum Zuweisen dieser Rolle für ein einzelnes Dienstkonto finden Sie unter Zugriff auf Dienstkonten verwalten.
Wenn Sie OS Login verwenden, benötigen Sie alle Berechtigungen, die eine der IAM-Rollen für OS Login für das Dienstkonto und Ihr Nutzerkonto enthält.
Wenn Sie OS Login nicht verwenden, benötigen Sie auch die Berechtigung compute.projects.setCommonInstanceMetadata für das Dienstkonto und Ihr Nutzerkonto.

Außerdem müssen Sie Ihr Dienstkonto einer VM zuweisen und den Zugriffsbereich cloud-platform für die VM festlegen.

So übernehmen Sie die Identität eines Dienstkontos von einer anderen VM:

Stellen Sie eine Verbindung zur VM her, die als Dienstkonto ausgeführt wird.
Von der VM, die als Dienstkonto ausgeführt wird, stellen Sie eine Verbindung zu anderen VMs mit den gleichen Methoden her.

Hinweis: Verbindungsversuche innerhalb der VM, die als Dienstkonto ausgeführt wird, verwenden die Identität des Dienstkontos.

Nächste Schritte

Apps für die Verwendung von SSH konfigurieren
Erfahren Sie mehr über die Funktionsweise von SSH-Verbindungen in Compute Engine, einschließlich der Konfiguration und Speicherung von SSH-Schlüsseln.