新しく作成されたGCEインスタンスのホストキー情報で<code>~/.ssh/known_hosts</code>を更新したいと思います。しかし、その情報を安全に取得する方法がわかりません。のようなものを考えました<pre><code>gcloud compute ssh <GCEUSER>@<GCEHOST> --command='ssh-keyscan 127.0.0.1' </code></pre>うまくいくかもしれません。しかし、それは（ <a href="https://cloud.google.com/sdk/gcloud/reference/compute/ssh">gcloud compute sshドキュメント</a> による）<code>ssh</code>のラッパーのように見えます（そして、関連するログファイルにリストされているパラメーターの<code>StrictHostKeyChecking=no</code>を見ると$ HOME/.config/gcloud/logs /の下では、明らかにホストのIDをチェックしていません）。Webコンソールを使用してブラウザーベースのsshセッションを起動する方法があるようです（そして、インタラクティブに/手動で<code>ssh-keyscan</code>を実行します）。本来あるべき安全性と2）スクリプト統合のための効果的なAPIではありません。GCEインスタンスのホストキーを安全に取得するためのAPI/<code>gcloud</code>メカニズムはありますか？

いいえ、これを行う簡単な方法はありません（ <a href="https://issuetracker.google.com/issues/35907612">このセキュリティリスクを修正するための未解決の問題</a> があります）。

Google Compute Engineインスタンスからsshホストキーを安全に取得するにはどうすればよいですか？

新しく作成されたGCEインスタンスのホストキー情報で~/.ssh/known_hostsを更新したいと思います。しかし、その情報を安全に取得する方法がわかりません。

のようなものを考えました

gcloud compute ssh <GCEUSER>@<GCEHOST> --command='ssh-keyscan 127.0.0.1'

うまくいくかもしれません。しかし、それは（ gcloud compute sshドキュメントによる）sshのラッパーのように見えます（そして、関連するログファイルにリストされているパラメーターのStrictHostKeyChecking=noを見ると$ HOME/.config/gcloud/logs /の下では、明らかにホストのIDをチェックしていません）。

Webコンソールを使用してブラウザーベースのsshセッションを起動する方法があるようです（そして、インタラクティブに/手動でssh-keyscanを実行します）。本来あるべき安全性と2）スクリプト統合のための効果的なAPIではありません。

GCEインスタンスのホストキーを安全に取得するためのAPI/gcloudメカニズムはありますか？

sshsecuritygoogle-compute-enginessh-keys

2018/08/03jhfrontz

いいえ、これを行う簡単な方法はありません（このセキュリティリスクを修正するための未解決の問題があります）。

2018/12/13jhfrontz