VM に SSH 認証鍵を追加する

このドキュメントでは、仮想マシン(VM)インスタンスに SSH 認証鍵を追加する方法について説明します。

始める前に

  • まだ作成していない場合は、SSH 認証鍵ペアを作成します。
  • まだ設定していない場合は、認証を設定します。認証とは、 Trusted Cloud by S3NS サービスと API にアクセスするために ID を確認するプロセスです。ローカル開発環境からコードまたはサンプルを実行するには、次のいずれかのオプションを選択して Compute Engine で認証を行います。

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

    gcloud

      1. After installing the Google Cloud CLI, sign in to the gcloud CLI with your federated identity and then initialize it by running the following command: 

        gcloud init
      2. Set a default region and zone.

        3. Terraform

        ローカル開発環境でこのページの Terraform サンプルを使用するには、gcloud CLI をインストールして初期化し、ユーザー認証情報を使用してアプリケーションのデフォルト認証情報を設定します。

        1. Install the Google Cloud CLI.

        2. Configure the gcloud CLI to use your federated identity.

          For more information, see Sign in to the gcloud CLI with your federated identity.

        3. To initialize the gcloud CLI, run the following command: 

          gcloud init

        4. Create local authentication credentials for your user account: 

          gcloud auth application-default login

          If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

        詳細については Set up authentication for a local development environment をご覧ください。

        REST

        このページの REST API サンプルをローカル開発環境で使用するには、gcloud CLI に指定した認証情報を使用します。

          After installing the Google Cloud CLI, sign in to the gcloud CLI with your federated identity and then initialize it by running the following command: 

          gcloud init

        詳細については、 Trusted Cloud 認証ドキュメントの REST を使用して認証するをご覧ください。

メタデータ ベースの SSH 認証鍵を使用する VM に SSH 認証鍵を追加する

VM は、Compute Engine のプロジェクトとインスタンス メタデータに SSH 認証鍵を保存します。VM で OS Login が有効になっている場合、VM のゲスト エージェントはメタデータに保存されている鍵を無視します。

プロジェクト メタデータに保存された SSH 認証鍵を使用して、プロジェクト内のすべての VM にアクセスできます。インスタンス メタデータに保存された SSH 認証鍵を使用して、個々の VM にアクセスできます。

Compute Engine は、有効期限になった時点で期限切れの SSH 認証鍵を自動的にメタデータから削除しませんが、期限切れの鍵を使用して VM への新しい接続を確立することはできません。メタデータから期限切れの鍵を削除したい場合は、メタデータ ベースの鍵を使用する VM から SSH 認証鍵を削除するをご覧ください。

公開 SSH 認証鍵は、 Trusted Cloud コンソール、gcloud CLI、または REST を使用して、プロジェクトまたは VM インスタンスのメタデータに追加できます。SSH 認証鍵にゾーン メタデータ値を設定することはできません。

プロジェクト メタデータに SSH 認証鍵を追加する

公開 SSH 認証鍵をプロジェクト メタデータに追加して、プロジェクト内のすべての VM にアクセスできます(ただし、プロジェクト全体の SSH 認証鍵をブロックする VM は除きます)。プロジェクト全体の SSH 認証鍵をブロックする方法については、メメタデータ ベースの SSH 認証鍵を使用する VM からの SSH 認証鍵をブロックするをご覧ください。

コンソール

Trusted Cloud コンソールを使用して公開 SSH 認証鍵をプロジェクト メタデータに追加するには、次の操作を行います。

  1. Trusted Cloud コンソールで、[メタデータ] ページに移動します。

    [メタデータ] に移動

  2. [SSH 認証鍵] タブをクリックします。

  3. [編集] をクリックします。

  4. [項目を追加] をクリックします。

  5. 表示された [SSH 認証鍵] フィールドに、公開 SSH 認証鍵を追加します。鍵の形式は次のいずれかにする必要があります。

    • 有効期限のない鍵の形式:

      KEY_VALUE USERNAME
    • 有効期限のある鍵の形式:

      KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

    次のように置き換えます。

    • KEY_VALUE: 公開 SSH 認証鍵の値
    • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

      Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとして Linux VM に接続するをご覧ください。

      Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

    • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000

  6. [保存] をクリックします。

gcloud

In the Trusted Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  1. プロジェクト メタデータに既存の SSH 認証鍵がある場合は、gcloud CLI を使用して新しい SSH 認証鍵を追加するたびに、プロジェクト メタデータに再追加する必要があります。既存の鍵を再追加しないと、新しい鍵を追加したときに既存の鍵が消去されます。

    gcloud CLI を使用して公開 SSH 認証鍵をプロジェクト メタデータに追加する手順は、次のとおりです。

    1. プロジェクトにすでにプロジェクト全体の公開 SSH 認証鍵がある場合は、メタデータから取得して新しいファイルに追加します。

      1. gcloud compute project-info describe コマンドを実行して、プロジェクトの SSH 認証鍵を取得します。

        gcloud compute project-info describe \
 --format="value(commonInstanceMetadata[items][ssh-keys])"

        出力は次のようになります。

        username:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ... username:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ...

      2. ssh-keys メタデータ値をコピーします。

      3. ワークステーションで新しいテキスト ファイルを作成して開きます。

      4. コピーした鍵のリストをファイルに貼り付けます。

      5. 新しい鍵を次の形式でリストの末尾に追加します。

        • 有効期限のない鍵の形式:

          USERNAME:KEY_VALUE
        • 有効期限のある鍵の形式:

          USERNAME:KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

        次のように置き換えます。

        • KEY_VALUE: 公開 SSH 認証鍵の値
        • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

          Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとしてのインスタンスへの接続をご覧ください。

          Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

        • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000

      6. ファイルを保存して閉じます。

    2. gcloud compute project-info add-metadata コマンドを実行して、プロジェクト全体の ssh-keys 値を設定します。

      gcloud compute project-info add-metadata --metadata-from-file=ssh-keys=KEY_FILE

      KEY_FILE を次のいずれかに置き換えます。

      • プロジェクトに既存の SSH 認証鍵がある場合は、前の手順で作成したファイルのパス
      • プロジェクトに既存の SSH 認証鍵がない場合は、新しい公開 SSH 認証鍵ファイルのパス

Terraform

公開 SSH 認証鍵をプロジェクト メタデータに追加するには、google_compute_project_metadata リソースを使用します。

resource "google_compute_project_metadata" "default" {
  metadata = {
    ssh-keys = <<EOF
      dev:ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAILg6UtHDNyMNAh0GjaytsJdrUxjtLy3APXqZfNZhvCeT dev
      test:ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAILg6UtHDNyMNAh0GjaytsJdrUxjtLy3APXqZfNZhvCeT test
    EOF
  }
}

REST

プロジェクト メタデータに既存の SSH 認証鍵がある場合は、Compute Engine API を使用して新しい SSH 認証鍵を追加するたびに、プロジェクト メタデータに再追加する必要があります。既存の鍵を再追加しないと、新しい鍵を追加したときに既存の鍵が消去されます。

Compute Engine API を使用して公開 SSH 認証鍵をプロジェクト メタデータに追加するには、次の手順を行います。

  1. projects.get メソッドを使用して、メタデータから fingerprintssh-keys の値を取得します。

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID

    PROJECT_ID は、実際のプロジェクト ID に置き換えます。

    レスポンスは次の例のようになります。

    ...
"fingerprint": "utgYE_XWtE8=",
"items": [
{
 "key": "ssh-keys",
 "value": "cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF...\nbaklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8... google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}"
}
]
...

  2. projects.setCommonInstanceMetadata メソッドを使用して、新しい ssh-keys 値を追加します。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/setCommonInstanceMetadata

{
"items": [
 {
  "key": "ssh-keys",
  "value": "EXISTING_SSH_KEYS\nNEW_SSH_KEY"
 }
]
"fingerprint": "FINGERPRINT"
}

    次のように置き換えます。

    • PROJECT_ID: プロジェクト ID
    • EXISTING_SSH_KEYS: projects.get リクエストのレスポンスからの ssh-keys 鍵の値
    • FINGERPRINT: projects.get リクエストのレスポンスからの fingerprint の値

    • NEW_SSH_KEY: 新しい SSH 認証鍵。次のいずれかの形式です。

      • 有効期限のない鍵の形式:

        USERNAME:KEY_VALUE
      • 有効期限のある鍵の形式:

        USERNAME:KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

      次のように置き換えます。

      • KEY_VALUE: 公開 SSH 認証鍵の値
      • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

        Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとしてのインスタンスへの接続をご覧ください。

        Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

      • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000

インスタンス メタデータに SSH 認証鍵を追加する

公開 SSH 認証鍵は、VM の作成時または VM の作成後に、インスタンス メタデータに追加できます。

VM の作成時にインスタンス メタデータに SSH 認証鍵を追加する

VM の作成時に、Trusted Cloud コンソール、gcloud CLI、または Compute Engine API を使用して SSH 認証鍵をインスタンス メタデータに追加できます。

コンソール

Trusted Cloud コンソールを使用してインスタンスを作成すると同時に、公開 SSH 認証鍵をインスタンス メタデータに追加する手順は、次のとおりです。

  1. Trusted Cloud コンソールで [インスタンスの作成] ページに移動します。

    [インスタンスの作成] に移動

  2. 公開 SSH 認証鍵をインスタンス メタデータに追加するには、次の手順を行います。

    1. ナビゲーション メニューで [セキュリティ] をクリックします。

    2. [アクセスを管理] セクションを開きます。

    3. OS Login を無効にするには、[IAM 権限で VM アクセスを制御する] チェックボックスをオフにします。

    4. プロジェクト メタデータの公開 SSH 認証鍵がインスタンスにアクセスできるようにするには、[プロジェクト全体の SSH 認証鍵をブロック] チェックボックスをオフにします。

    5. [手動で生成した SSH 認証鍵の追加] セクションで、[項目を追加] をクリックします。

    6. テキスト ボックスに公開鍵を追加します。鍵の形式は、次のいずれかにする必要があります。

      • 有効期限のない鍵の形式:

        KEY_VALUE USERNAME
      • 有効期限のある鍵の形式:

        KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

      次のように置き換えます。

      • KEY_VALUE: 公開 SSH 認証鍵の値
      • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

        Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとして Linux VM に接続するをご覧ください。

        Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

      • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000

  3. 省略可: その他の構成オプションを指定します。詳細については、インスタンス作成時の構成オプションをご覧ください。

  4. インスタンスを作成して起動するには、[作成] をクリックします。

gcloud

  1. In the Trusted Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. VM を作成し、gcloud CLI を使用して公開 SSH 認証鍵をインスタンス メタデータに追加するには、gcloud compute instances create コマンドを使用します。

    gcloud compute instances create VM_NAME \
   --metadata=ssh-keys=PUBLIC_KEY

    次のように置き換えます。

    • VM_NAME: 新しい VM の名前

    • PUBLIC_KEY: 次のいずれかの形式の公開 SSH 認証鍵:

      • 有効期限のない鍵の形式:

        USERNAME:KEY_VALUE
      • 有効期限のある鍵の形式:

        USERNAME:KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

      次のように置き換えます。

      • KEY_VALUE: 公開 SSH 認証鍵の値
      • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

        Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとしてのインスタンスへの接続をご覧ください。

        Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

      • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000

    --metadata-from-file=ssh-keys=FILE_PATH フラグを使用すると、複数の SSH 認証鍵を追加できます。このファイルに、上記のいずれかの形式でユーザー名と公開 SSH 認証鍵のリストを追加します。

Terraform

公開 SSH 認証鍵をインスタンス メタデータに追加するには、google_compute_instance リソースを使用します。

resource "google_compute_instance" "default" {
  name         = "my-vm"
  machine_type = "n1-standard-1"
  zone         = "us-central1-a"

  boot_disk {
    initialize_params {
      image = "ubuntu-1404-trusty-v20160627"
    }
  }

  # Local SSD disk
  scratch_disk {
    interface = "SCSI"
  }

  network_interface {
    network = "default"
    access_config {}
  }
  metadata = {
    "ssh-keys" = <<EOT
      dev:ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAILg6UtHDNyMNAh0GjaytsJdrUxjtLy3APXqZfNZhvCeT dev
      test:ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAILg6UtHDNyMNAh0GjaytsJdrUxjtLy3APXqZfNZhvCeT test
     EOT
  }
}

REST

VM を作成すると同時に、Compute Engine を使用して公開 SSH 認証鍵をインスタンス メタデータに追加するには、instances.insert メソッドPOST リクエストを送信します。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID
  • ZONE: VM のゾーン

リクエストの本文で、items プロパティにユーザー名と公開 SSH 認証鍵を入力します。

...
{
 "items": [
    {
     "key": "ssh-keys",
     "value": "PUBLIC_KEY"
    }
   ]
}
...

PUBLIC_KEY は、次のいずれかの形式の公開鍵に置き換えます。

  • 有効期限のない鍵の形式:

    USERNAME:KEY_VALUE
  • 有効期限のある鍵の形式:

    USERNAME:KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

次のように置き換えます。

  • KEY_VALUE: 公開 SSH 認証鍵の値
  • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

    Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとしてのインスタンスへの接続をご覧ください。

    Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

  • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000

複数の SSH 認証鍵を追加するには、鍵の間に \n を追加します。

VM 作成後のインスタンス メタデータに SSH 認証鍵を追加する

VM の作成後に、Trusted Cloud コンソール、gcloud CLI、または Compute Engine API を使用して SSH 認証鍵をインスタンス メタデータに追加できます。

コンソール

Trusted Cloud コンソールを使用して公開 SSH 認証鍵をインスタンス メタデータに追加するには、次の操作を行います。

  1. Trusted Cloud コンソールで、[VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. SSH 認証鍵を追加する VM の名前をクリックします。

  3. [編集] をクリックします。

  4. [SSH 認証鍵] で、[項目を追加] をクリックします。

  5. テキスト ボックスに公開鍵を追加します。鍵の形式は次のいずれかにする必要があります。

    • 有効期限のない鍵の形式:

      KEY_VALUE USERNAME
    • 有効期限のある鍵の形式:

      KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

    次のように置き換えます。

    • KEY_VALUE: 公開 SSH 認証鍵の値
    • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

      Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとして Linux VM に接続するをご覧ください。

      Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

    • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000

  6. [保存] をクリックします。

gcloud

  1. In the Trusted Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. インスタンス メタデータに既存の SSH 認証鍵がある場合は、gcloud CLI を使用して新しい SSH 認証鍵を追加するたびに、インスタンス メタデータに再追加する必要があります。既存の鍵を再追加しないと、新しい鍵を追加したときに既存の鍵が消去されます。

    gcloud CLI を使用して公開 SSH 認証鍵をインスタンス メタデータに追加する手順は、次のとおりです。

    1. VM にインスタンス レベルの公開 SSH 認証鍵がすでにある場合は、メタデータから取得して新しいファイルに追加します。

      1. gcloud compute instances describe コマンドを実行して、VM のメタデータを取得します。

        gcloud compute instances describe VM_NAME

        VM_NAME は、公開 SSH 認証鍵を追加または削除する必要がある VM の名前に置き換えます。

        出力は次のようになります。

        ...
metadata:
...
- key: ssh-keys
 value: |-
   cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF...
   baklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8... google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}
...

      2. ssh-keys メタデータ値をコピーします。

      3. ワークステーションで新しいテキスト ファイルを作成して開きます。

      4. コピーした鍵のリストをファイルに貼り付けます。

      5. 新しい鍵を次の形式でリストの末尾に追加します。

      • 有効期限のない鍵の形式:

        USERNAME:KEY_VALUE
      • 有効期限のある鍵の形式:

        USERNAME:KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

      次のように置き換えます。

      • KEY_VALUE: 公開 SSH 認証鍵の値
      • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

        Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとしてのインスタンスへの接続をご覧ください。

        Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

      • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000
      1. ファイルを保存して閉じます。

    2. gcloud compute instances add-metadata コマンドを実行して、ssh-keys 値を設定します。

      gcloud compute instances add-metadata VM_NAME --metadata-from-file ssh-keys=KEY_FILE

      次のように置き換えます。

      • VM_NAME: SSH 認証鍵を追加する VM
      • KEY_FILE は、次のいずれかに置き換えます。
      • VM に既存の SSH 認証鍵がある場合、前の手順で作成したファイルのパス
      • VM に既存の SSH 認証鍵がない場合は、新しい公開 SSH 認証鍵ファイルのパス

REST

インスタンス メタデータに既存の SSH 認証鍵がある場合は、Compute Engine API を使用して新しい SSH 認証鍵を追加するたびに、インスタンス メタデータに再追加する必要があります。既存の鍵を再追加しないと、新しい鍵を追加したときに既存の鍵が消去されます。

Compute Engine API を使用して公開 SSH 認証鍵をインスタンス メタデータに追加するには、次の手順を行います。

  1. instances.get メソッドを使用して、メタデータから fingerprintssh-keys の値を取得します。

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME

    次のように置き換えます。

    • PROJECT_ID: プロジェクト ID
    • ZONE: SSH 認証鍵を追加する VM のゾーン
    • VM_NAME: SSH 認証鍵を追加する VM

    レスポンスは次の例のようになります。

    ...
"fingerprint": "utgYE_XWtE8=",
"items": [
{
 "key": "ssh-keys",
  "value": "cloudysanfrancisco:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAu5kKQCPF...\nbaklavainthebalkans:ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQDx3FNVC8... google-ssh {"userName":"baklavainthebalkans","expireOn":"2021-06-14T16:59:03+0000"}"
}
]
...

  2. instances.setMetadata メソッドを使用して、新しい ssh-keys 値を追加します。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/setMetadata

{
"items": [
 {
  "key": "ssh-keys",
  "value": "EXISTING_SSH_KEYS\nNEW_SSH_KEY"
 }
]
"fingerprint": "FINGERPRINT"
}

    次のように置き換えます。

    • PROJECT_ID: プロジェクト ID
    • EXISTING_SSH_KEYS: instances.get リクエストのレスポンスからの ssh-keys 鍵の値
    • FINGERPRINT: projects.get リクエストのレスポンスからの fingerprint

    • NEW_SSH_KEY: 新しい SSH 認証鍵。次のいずれかの形式です。

      • 有効期限のない鍵の形式:

        USERNAME:KEY_VALUE
      • 有効期限のある鍵の形式:

        USERNAME:KEY_VALUE google-ssh {"userName":"USERNAME","expireOn":"EXPIRE_TIME"}

      次のように置き換えます。

      • KEY_VALUE: 公開 SSH 認証鍵の値
      • USERNAME: ユーザー名。例: cloudysanfranciscocloudysanfrancisco_gmail_com

        Linux VM の場合、root ログインを許可するように VM を構成した場合を除き、USERNAMEroot にすることはできません。詳細については、root ユーザーとしてのインスタンスへの接続をご覧ください。

        Active Directory(AD)を使用する Windows VM の場合、ユーザー名の前に AD ドメインを DOMAIN\ 形式で追加する必要があります。たとえば、ad.example.com AD 内のユーザー cloudysanfranciscoUSERNAMEexample\cloudysanfrancisco です。

      • EXPIRE_TIME: 鍵が期限切れになる時刻(ISO 8601 形式)。例: 2021-12-04T20:12:00+0000

次のステップ