Questo documento descrive come utilizzare OS Login per gestire l'accesso alle istanze VM in tutta l'organizzazione.
Questo argomento tratta le seguenti attività:
- Attiva OS Login per un'organizzazione utilizzando un criterio dell'organizzazione: utilizza un criterio dell'organizzazione per assicurarti che OS Login sia attivato in tutte le nuove istanze VM della tua organizzazione.
- Concedi l'accesso alle istanze a utenti esterni alla tua organizzazione: consenti agli account utente esterni alla tua organizzazione di utilizzare SSH per connettersi alle tue istanze.
- Gestisci l'API OS Login: consenti o nega agli utenti l'accesso all'API OS Login. Attiva o disattiva anche le funzionalità dell'API OS Login.
- Controlla gli eventi di OS Login: monitora gli eventi e le attività correlati a OS Login, ad esempio l'aggiunta, l'eliminazione o l'aggiornamento di una chiave SSH o l'eliminazione di informazioni POSIX.
- Modifica gli account utente utilizzando l'API Directory: aggiorna le proprietà utente, come il nome utente e i dati dell'account POSIX, utilizzando l'API Directory.
- Utilizza i gruppi Linux con OS Login (ritirato): gestisci le autorizzazioni utente all'interno delle VM utilizzando i gruppi Linux con OS Login.
- Utilizza OS Login con la federazione delle identità della forza lavoro (anteprima): connettiti alle VM su cui è abilitato OS Login quando la tua organizzazione utilizza un provider di identità (IdP) esterno.
Prima di iniziare
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è
il processo mediante il quale la tua identità viene verificata per l'accesso ai Google Cloud servizi e alle API.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su
Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud init
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
enable-oslogin=true
è incluso nei metadati del progetto per tutti i nuovi progetti.- Le richieste che impostano
enable-oslogin
sufalse
nei metadati di istanza o progetto vengono rifiutate per VM e progetti nuovi ed esistenti. - Cloud Data Fusion versioni 6.1.4 e precedenti
- Cloud Composer 1
- Cluster pubblici Google Kubernetes Engine (GKE) che eseguono versioni precedenti alla 1.23.5
- Cluster GKE privati che eseguono versioni pool di nodi precedenti alla 1.20.5
- VM Windows Server e SQL Server
- VM Fedora CoreOS. Per gestire l'accesso alle istanze alle VM create utilizzando queste immagini, utilizza il sistema di inizializzazione Fedora CoreOS.
- Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
- Nell'elenco dei criteri, fai clic su Richiedi OS Login per visualizzare i vincoli di OS Login.
- Fai clic su Modifica per modificare i vincoli di OS Login esistenti.
- Nella pagina Modifica, seleziona Personalizza.
- Per attivare l'applicazione di questo vincolo, seleziona On.
- Fai clic su Salva per applicare le impostazioni del vincolo.
Trova l'ID organizzazione.
gcloud organizations list
Imposta il vincolo nella tua organizzazione. Sostituisci
organization-id
con l'ID organizzazione.gcloud beta resource-manager org-policies enable-enforce compute.requireOsLogin \ --organization=organization-id
folder-id
: il tuo ID cartella.project-id
: il tuo ID progetto.- Nella Google Cloud console, vai alla pagina IAM e amministrazione.
- Fai clic sul menu a discesa Seleziona un progetto. Nella finestra di dialogo Seleziona una risorsa visualizzata, seleziona la tua organizzazione procedendo nel seguente modo:
- Fai clic sul menu a discesa dell'organizzazione per visualizzare tutte le tue organizzazioni.
- Seleziona la tua organizzazione dal menu a discesa.
- Fai clic su Concedi l'accesso per aggiungere un nuovo ruolo a un utente.
- Nel campo Nuove entità, aggiungi l'indirizzo email dell'utente per cui vuoi configurare l'accesso all'istanza.
- Dal menu a discesa Ruolo, seleziona il ruolo Utente esterno OS Login Compute.
- Fai clic su Salva.
- Se non l'hai ancora fatto, concedi all'utente gli altri ruoli di accesso all'istanza OS Login a livello di progetto o organizzazione.
- Scegli se includere il suffisso di dominio nei nomi utente generati dall'API OS
Login. Ad esempio, nel dominio
example.com
, l'utenteuser@example.com
avrà il nome utenteuser
se l'impostazione per includere il suffisso del dominio non è selezionata. - Decidi se i membri della tua organizzazione possono gestire le chiavi SSH utilizzando l'API OS Login.
- Limita o consenti l'accesso alle VM agli utenti esterni all'organizzazione.
- Modificare le impostazioni di accesso all'istanza
- Impostare un utente come amministratore
- Modificare le proprietà utente, ad esempio il nome e l'email dell'account
- Aggiungere e rimuovere chiavi SSH per un utente
- Modificare le informazioni dell'account POSIX
- Modificare il nome utente a cui si connettono gli utenti nell'istanza
USER_KEY
: l'indirizzo email principale, l'indirizzo email alias o l'ID utente univoco dell'utente.USERNAME
: il nome utente che Compute Engine aggiunge alla VM per l'utente. Questo valore deve essere univoco all'interno dell'organizzazione e non deve terminare con una tilde ("~") o contenere un punto (".").UID
: l'ID utente sulla VM per questo utente. Questa proprietà deve essere costituita da un valore compreso tra1001
e60000
o tra65535
e2147483647
. Per accedere a un sistema operativo ottimizzato per i container, il valore diUID
deve essere compreso tra65536
e214748646
. IlUID
deve essere univoco all'interno della tua organizzazione.GID
: l'ID gruppo sulla VM a cui appartiene l'utente.USER_HOME_PATH
: (facoltativo) la home directory sulla VM per l'utente. Ad esempio,/home/example_username
.SHELL_PATH
: (facoltativo) il percorso della shell predefinita per l'utente dopo la connessione all'istanza. Ad esempio,/bin/bash
o/bin/sh
.KEY_VALUE
: il valore della chiave pubblica SSH.EXPIRATION_TIME
: (facoltativo) la data e l'ora di scadenza della chiave in microsecondi dall'epoca (1 secondo = 106 microsecondi).- Se non conosci l'ID risorsa dell'organizzazione, recuperalo.
- Elenca tutti i gruppi POSIX della tua organizzazione. Prendi nota dell'indirizzo email di ciascun gruppo.
- Per ogni gruppo POSIX della tua organizzazione, esegui le seguenti operazioni:
- Recupera le informazioni del gruppo. Nota il
posixGroups.gid
. - Elimina il gruppo POSIX.
- Recupera le informazioni del gruppo. Nota il
- (Facoltativo) Verifica che tutti i gruppi siano stati eliminati elencando tutti i gruppi POSIX nella tua organizzazione. Se tutti i gruppi sono stati eliminati correttamente, la risposta è vuota.
- Crea un pool di identità per la forza lavoro.
- Configura le mappature degli attributi
google.posix_username
. Configura la VM in modo che utilizzi OS Login con la federazione delle identità per la forza lavoro procedendo nel seguente modo:
Verifica che sulla VM sia installato OpenSSH 7.4 o versioni successive eseguendo il seguente comando:
ssh -V
- Non puoi utilizzare la federazione delle identità per la forza lavoro con l'autenticazione a due fattori (2FA) di OS Login.
- Per utilizzare la federazione delle identità del personale con OS Login, la VM a cui ti connetti deve avere OpenSSH versione 7.4 o successive.
- Se la tua organizzazione utilizza la federazione delle identità per la forza lavoro, non puoi accedere alle porte seriali della VM.
- In the Google Cloud console, go to the VM instances page.
-
In the list of virtual machine instances, click SSH in the row of
the instance that you want to connect to.
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Esegui questo comando:
gcloud beta compute ssh --project=PROJECT_ID --zone=ZONE VM_NAME
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene la VMZONE
: il nome della zona in cui si trova la VMVM_NAME
: il nome della VM
Se hai impostato proprietà predefinite per Google Cloud CLI, puoi omettere i flag
--project
e--zone
da questo comando. Ad esempio:gcloud compute ssh VM_NAME
-
Installa IAP Desktop sulla workstation, se non l'hai ancora fatto.
-
Apri IAP Desktop. Si apre la finestra Aggiungi progetti.
-
Quando richiesto, accedi con la federazione delle identità per la forza lavoro.
-
Nella finestra Aggiungi progetti, inserisci l'ID o il nome del progetto che contiene le VM a cui vuoi connetterti.
-
Nella finestra Project Explorer (Esplora progetti), fai di nuovo clic con il tasto destro del mouse sul nome della VM e seleziona Connetti per connetterti alla VM.
- Crea una chiave SSH se non ne hai già una.
Firma la chiave SSH pubblica utilizzando il metodo
users.projects.locations.signSshPublicKey
:POST https://oslogin.googleapis.com/v1beta/users/USER/projects/PROJECT_ID/locations/LOCATION:signSshPublicKey { "ssh_public_key": "PUBLIC_KEY" }
Sostituisci quanto segue:
USER
: una singola identità in un pool di forza lavoro, nel seguente formato:principal:%2F%2Fiam.googleapis.com%2Flocations%2Fglobal%2FworkforcePools%2POOL_ID%2Fsubject%2FSUBJECT_ATTRIBUTE_VALUE
Sostituisci quanto segue:
POOL_ID
: il pool di forza lavoro a cui appartiene l'utente.SUBJECT_ATTRIBUTE_VALUE
: il valore della mappatura dell'attributogoogle.posix_username
dell'utente.
PROJECT_ID
: l'ID progetto del progetto che contiene la VM a cui vuoi connetterti.LOCATION
: la zona in cui si trova la VM a cui vuoi connetterti.PUBLIC_KEY
: i contenuti del file della chiave pubblica SSH.
Copia il certificato SSH dall'output del metodo
user.signSshPublicKey
e salva i contenuti in un nuovo file.Imposta le autorizzazioni sul file del certificato SSH eseguendo il seguente comando:
sudo chmod 600 FILE_NAME
Sostituisci
FILE_NAME
con il nome del file.Connettiti alla VM utilizzando il seguente comando:
ssh -i PATH_TO_PRIVATE_KEY -o CertificateFile=PATH_TO_SSH_CERTIFICATE USERNAME@EXTERNAL_IP
Sostituisci quanto segue:
PATH_TO_PRIVATE_KEY
: il percorso del file della chiave SSH privata.PATH_TO_SSH_CERTIFICATE
: il percorso del file del certificato SSH.USERNAME
: il valore della mappatura dell'attributogoogle.posix_username
dell'utente.EXTERNAL_IP
: l'indirizzo IP esterno della VM.
- Scopri come configurare OS Login.
- Scopri come configurare OS Login con la verifica in due passaggi.
- Leggi una panoramica della funzionalità OS Login.
- Risolvi i problemi di OS Login.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud init
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
Per saperne di più, consulta la sezione Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud .
Policy dell'organizzazione OS Login
Puoi configurare un vincolo OS Login nella tua organizzazione per assicurarti che tutti i nuovi progetti e le istanze VM create in questi nuovi progetti abbiano OS Login abilitato.
Quando questo vincolo è configurato, vengono applicate le seguenti condizioni:
Limitazioni
OS Login non è supportato nei seguenti prodotti, funzionalità e VM:Soluzioni alternative per Cloud Data Fusion, Cloud Composer e GKE
Per utilizzare OS Login nelle organizzazioni che utilizzano Cloud Data Fusion, Cloud Composer e GKE, puoi attivare il vincolo OS Login a livello di organizzazione e poi disattivarlo selettivamente nei progetti o nelle cartelle per i progetti interessati.
Per ulteriori informazioni sulla modifica delle norme dell'organizzazione, consulta la pagina Creare e modificare le norme.
Attiva il criterio dell'organizzazione
Per attivare il criterio OS Login, puoi impostare il vincolo OS Login su progetti e cartelle specifici utilizzando Google Cloud CLI. Puoi anche impostare il vincolo OS Login sull'intera organizzazione utilizzando la console Google Cloud o Google Cloud CLI.
Console
Per impostare il criterio dell'organizzazione di OS Login dalla console, completa i seguenti passaggi:
gcloud
Per impostare il criterio dell'organizzazione OS Login, utilizza il comando
gcloud beta resource-manager org-policies enable-enforce
.Puoi anche applicare il criterio dell'organizzazione OS Login a una cartella o a un progetto con i flag
--folder
o--project
e l'ID cartella e l'ID progetto, rispettivamente.Per le cartelle, esegui questo comando:
gcloud beta resource-manager org-policies enable-enforce compute.requireOsLogin \ --folder=folder-id
Per i progetti, esegui questo comando:
gcloud beta resource-manager org-policies enable-enforce compute.requireOsLogin \ --project=project-id
Sostituisci quanto segue:
Concedere l'accesso all'istanza a utenti esterni all'organizzazione
Per impostazione predefinita, gli utenti esterni alla tua organizzazione non possono impostare chiavi SSH per le istanze della tua organizzazione né ricevere l'accesso alle istanze della tua organizzazione. In alcune situazioni, potrebbe essere necessario concedere l'accesso all'istanza a utenti che fanno parte di un'altra organizzazione o che dispongono di un account Google
gmail.com
consumer.Il ruolo IAM
roles/compute.osLoginExternalUser
consente agli Account Google esterni di interagire con gli altri ruoli OS Login consentendo loro di configurare i dati dell'account POSIX.Per concedere
roles/compute.osLoginExternalUser
e altri ruoli di accesso alle istanze OS Login necessari a utenti esterni all'organizzazione, completa i seguenti passaggi:Ora l'utente può connettersi alle istanze nel tuo progetto in cui è abilitato OS Login.
Gestire l'API OS Login
A livello di organizzazione, puoi limitare l'accesso all'API OS Login impostando i controlli amministratore di Google Workspace. Per configurare i controlli di amministrazione di Google Workspace o visualizzare le opzioni di configurazione, vedi Controllare chi utilizza Google Cloud nella tua organizzazione. In qualità di amministratore di Google Workspace, puoi anche attivare o disattivare determinate funzionalità dell'API OS Login. Sono incluse le seguenti opzioni:
Per saperne di più sull'attivazione o la disattivazione delle impostazioni dell'API OS Login, vedi Scegliere le impostazioni per Google Cloud.
Controllare gli eventi di OS Login
In qualità di amministratore di Google Workspace, puoi utilizzare l'SDK Admin di Google Workspace per controllare le azioni eseguite con l'API OS Login. Esaminando questi eventi, puoi monitorare quando un utente aggiunge, elimina o aggiorna una chiave SSH oppure elimina le informazioni dell'account POSIX.
Puoi recuperare gli eventi dell'attività di controllo dell'API OS Login dall'SDK Admin di Google Workspace chiamando
Activities.list()
conapplicationName=gcp
. Per maggiori informazioni, consulta la sezione Eventi di attivitàGoogle Cloud nella documentazione dell'API Admin SDK Reports di Google Workspace.Modificare gli account utente utilizzando l'API Directory
OS Login utilizza le impostazioni utente di Cloud Identity o Google Workspace quando si connette a un'istanza. Se sei un super amministratore di Google Workspace, puoi utilizzare l'API Directory per completare le seguenti attività per i tuoi account utente Google Workspace o Cloud Identity:
Gli esempi seguenti mostrano come modificare o rimuovere gli account utente utilizzando l'API Directory. Per ulteriori informazioni sulle proprietà dell'account che puoi modificare, consulta il riferimento API Directory.
Modificare le proprietà dell'account
Per modificare le informazioni dell'account POSIX di un utente o gestire le chiavi SSH dell'utente, invia una richiesta
PUT
al metododirectory.users.update
e specifica una o più proprietà da modificare nell'account utente.Se modifichi le proprietà
posixAccounts
di un utente, devi specificare i valoriusername
,uid
egid
attuali o nuovi nella richiesta.Se modifichi le proprietà
sshPublicKeys
dell'utente, devi specificare il valorekey
nella richiesta.Di seguito è riportato un esempio di richiesta
PUT
:PUT https://admin.googleapis.com/admin/directory/v1/users/USER_KEY { "posixAccounts": [ { "username": "USERNAME", "uid": "UID", "gid": "GID", "homeDirectory": "USER_HOME_PATH", "shell": "SHELL_PATH" } ], "sshPublicKeys": [ { "key": "KEY_VALUE", "expirationTimeUsec": EXPIRATION_TIME } ], }
Sostituisci quanto segue:
Rimuovere le proprietà dell'account
Per cancellare i dati
posixAccounts
esshPublicKeys
di un utente, invia una richiestaPUT
al metododirectory.users.update
, impostando i campiposixAccounts
esshPublicKeys
sunull
:PUT https://admin.googleapis.com/admin/directory/v1/users/USER_KEY { "posixAccounts": null, "sshPublicKeys": null }
Sostituisci
USER_KEY
con l'indirizzo email principale, l'indirizzo email alias o l'ID utente univoco dell'utente.Utilizzare i gruppi Linux con OS Login (ritirato)
Gli amministratori dell'organizzazione possono utilizzare l'API Cloud Identity Groups per configurare gruppi Linux supplementari per gli utenti di OS Login creando e gestendo gruppi POSIX. OS Login collega i gruppi POSIX ai gruppi Linux supplementari nelle VM della tua organizzazione in modo da poter gestire le autorizzazioni degli utenti nelle tue VM.
Gestire l'appartenenza degli utenti ai gruppi Linux
Per creare un gruppo POSIX, vedi Creazione e aggiornamento dei gruppi POSIX.
Per aggiungere utenti a un gruppo, vedi Aggiungere o invitare utenti in un gruppo.
Gli aggiornamenti dell'abbonamento diventano effettivi entro 10 minuti. Le modifiche al gruppo vengono riflesse in tutte le VM appena create. La propagazione degli aggiornamenti dei gruppi POSIX a tutte le VM in esecuzione può richiedere fino a sei ore. Per osservare le modifiche ai gruppi, gli utenti potrebbero dover uscire o utilizzare il comando
newgrp
.Elimina le configurazioni dei gruppi POSIX
Il supporto del gruppo POSIX di OS Login è stato ritirato. Ti consigliamo di eliminare le configurazioni dei gruppi POSIX di OS Login.
Per eliminare le configurazioni del gruppo POSIX di OS Login, devi essere un amministratore dell'organizzazione.
Limiti di frequenza per i gruppi Linux con OS Login
I gruppi Linux con OS Login utilizzano la quota
oslogin.googleapis.com/metadata_server_groups_requests
. Per impostazione predefinita, il limite di quota è 60 richieste/minuto per progetto per una determinata regione.Se hai bisogno di un limite di frequenza superiore, puoi richiedere un aggiustamento della quota nella pagina Quote della console Google Cloud .
Utilizzare la federazione delle identità per la forza lavoro con OS Login
Le organizzazioni che utilizzano la federazione delle identità della forza lavoro possono utilizzare OS Login per gestire l'accesso alle proprie VM. Quando la federazione delle identità della forza lavoro è attivata per un'organizzazione, OS Login utilizza l'autenticazione basata su certificati anziché l'autenticazione basata su chiavi per verificare le identità degli utenti.
Prima di iniziare
Limitazioni
Connettiti alle VM che utilizzano OS Login e la federazione delle identità della forza lavoro
Connettiti alle VM che utilizzano la federazione delle identità per i lavoratori con OS Login utilizzando la consoleGoogle Cloud , gcloud CLI o altri client SSH.
Console
Quando ti connetti alle VM che utilizzano OS Login con la federazione delle identità della forza lavoro utilizzando SSH in browser, Compute Engine configura il certificato SSH per tuo conto quando tenti di connetterti.
Per connetterti alle VM:
gcloud
Quando ti connetti alle VM che utilizzano OS Login con la federazione delle identità della forza lavoro utilizzando gcloud CLI, Compute Engine configura il certificato SSH per tuo conto quando tenti di connetterti.
Connettiti a una VM tramite SSH eseguendo il comando
gcloud beta compute ssh
:IAP Desktop
Quando ti connetti alle VM che utilizzano OS Login con la federazione delle identità della forza lavoro utilizzando IAP Desktop, Compute Engine configura il certificato SSH per tuo conto quando tenti di connetterti.
Per connetterti a una VM utilizzando IAP Desktop:
client SSH
Per connetterti a una VM che utilizza OS Login con la federazione delle identità per i lavoratori utilizzando un client SSH, procedi nel seguente modo:
Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-07-11 UTC.
-