Configurare OS Login

Questo documento descrive come configurare OS Login e OS Login con autenticazione a due fattori (2FA).

OS Login ti consente di controllare l'accesso alle istanze di macchine virtuali (VM) in base alle autorizzazioni IAM. Puoi utilizzare OS Login con o senza l'autenticazione a due fattori, ma non puoi utilizzare l'autenticazione a due fattori senza OS Login. Per scoprire di più su OS Login e sulla 2FA di OS Login, inclusi i tipi di verifica supportati da OS Login, consulta Informazioni su OS Login.

Prima di iniziare

Limitazioni

L'accesso al sistema operativo non è supportato nelle seguenti VM:
  • VM Windows Server e SQL Server
  • VM Fedora CoreOS. Per gestire l'accesso delle istanze alle VM create utilizzando queste immagini, utilizza il sistema di ignizione Fedora CoreOS

Assegna i ruoli IAM di OS Login

Assegna tutti i ruoli IAM richiesti agli utenti che si connettono alle VM in cui è abilitato OS Login.

Ruolo Utenti obbligatori Livello di sovvenzione
roles/compute.osLogin oppure roles/compute.osAdminLogin Tutti gli utenti

Nel progetto o nell'istanza.

Se un utente richiede l'accesso SSH dalla console Google Cloud o da Google Cloud CLI, devi concedere questi ruoli a livello di progetto oppure concedere un altro ruolo a livello di progetto che contenga l'autorizzazione compute.projects.get.
roles/iam.serviceAccountUser Tutti gli utenti, se la VM ha un account di servizio In Account di servizio.
roles/compute.osLoginExternalUser Utenti di un'organizzazione diversa da quella della VM a cui si connettono

In Organization (Organizzazione).

Questo ruolo deve essere concesso da un amministratore dell'organizzazione.

Attiva OS Login

Puoi attivare l'accesso al sistema operativo o l'accesso al sistema operativo con autenticazione a due fattori per una singola VM o per tutte le VM di un progetto impostando i metadati di OS Login.

Quando imposti i metadati di accesso al sistema operativo, Compute Engine elimina i fileauthorized_keys della VM e non accetta più connessioni da chiavi SSH archiviate nei metadati del progetto o dell'istanza.

Abilita OS Login per tutte le VM di un progetto

Per attivare l'accesso al sistema operativo per tutte le VM di un progetto, imposta i seguenti valori nei metadati del progetto:

  1. Attiva OS Login:
    • Chiave: enable-oslogin
    • Valore: TRUE
  2. (Facoltativo) Attiva l'autenticazione a due fattori:
    • Chiave: enable-oslogin-2fa
    • Valore: TRUE

Attivare l'accesso al sistema operativo per una singola VM

Per attivare l'accesso al sistema operativo per una singola VM, imposta i seguenti valori nei metadati dell'istanza:

  1. Attiva OS Login:
    • Chiave: enable-oslogin
    • Valore: TRUE
  2. (Facoltativo) Attiva l'autenticazione a due fattori:
    • Chiave: enable-oslogin-2fa
    • Valore: TRUE

Attivare l'accesso OS durante la creazione della VM

Attiva l'accesso al sistema operativo (se vuoi, con la verifica in due passaggi) durante la creazione di una VM utilizzando la console Google Cloud o l'interfaccia a riga di comando gcloud.

Console

Crea una VM che attivi l'accesso al sistema operativo e (facoltativo) l'autenticazione a due fattori di accesso al sistema operativo all'avvio creando una VM da un'immagine pubblica e specificando le seguenti configurazioni:

  1. Espandi la sezione Opzioni avanzate.
  2. Espandi la sezione Sicurezza.
  3. Espandi la sezione Gestisci accesso.
  4. Seleziona Controlla l'accesso alle VM tramite autorizzazioni IAM.
  5. (Facoltativo) Se vuoi attivare la verifica in due passaggi per OS Login, seleziona Richiedi verifica in due passaggi.
  6. Fai clic su Crea per creare e avviare la VM.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Crea una VM che attivi OS Login e (facoltativo) l'autenticazione a due fattori di OS Login all'avvio eseguendo uno dei seguenti comandi gcloud compute instance create:

    • Per abilitare solo l'accesso al sistema operativo, esegui il seguente comando:

      gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE

    • Per attivare l'autenticazione a due fattori per l'accesso al sistema operativo, esegui il seguente comando:

      gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE

    Sostituisci quanto segue:

    • VM_NAME: il nome della nuova VM.
    • IMAGE_FAMILY: la famiglia di immagini di un sistema operativo Linux. In questo modo viene creata la VM dall'immagine del sistema operativo non ritirata più recente. Per tutte le famiglie di immagini pubbliche, consulta Dettagli del sistema operativo.
    • IMAGE_PROJECT: il progetto immagine che contiene la famiglia di immagini. Ogni sistema operativo ha il proprio progetto di immagine. Per tutti i progetti di immagini pubbliche, consulta Dettagli del sistema operativo.

Terraform

Puoi applicare i valori dei metadati ai tuoi progetti o alle tue VM utilizzando una delle seguenti opzioni:

  • Opzione 1: imposta enable-oslogin nei metadati a livello di progetto in modo che sia applicato a tutte le VM del progetto.

    Utilizza la risorsa Terraform google_compute_project_metadata e imposta un valore dei metadati in cui oslogin=TRUE:

    resource "google_compute_project_metadata" "default" {
  metadata = {
    enable-oslogin = "TRUE"
  }
}

    In alternativa, puoi impostare enable-oslogin su FALSE per disattivare OS Login.

  • Opzione 2: imposta enable-oslogin nei metadati di una VM nuova o esistente.

    Utilizza la risorsa Terraform google_compute_instance e imposta oslogin=TRUE. Sostituisci oslogin_instance_name con il nome della tua VM.

    resource "google_compute_instance" "oslogin_instance" {
  name         = "oslogin-instance-name"
  machine_type = "f1-micro"
  zone         = "us-central1-c"
  metadata = {
    enable-oslogin : "TRUE"
  }
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }
  network_interface {
    # A default network is created for all GCP projects
    network = "default"
    access_config {
    }
  }
}

    In alternativa, puoi impostare enable-oslogin su FALSE per escludere la VM dall'utilizzo di OS Login.

Connettiti alle VM in cui è abilitato OS Login

Connettiti alle VM in cui è attivato l'accesso del sistema operativo utilizzando i metodi descritti in Connettersi alle VM Linux.

Quando ti connetti alle VM in cui è attivato OS Login, Compute Engine utilizza il nome utente configurato per te dall'amministratore dell'organizzazione. Se l'amministratore della tua organizzazione non ha configurato un nome utente per te, Compute Engine genera un nome utente nel formato USERNAME_DOMAIN_SUFFIX. Per ulteriori informazioni sui nomi utente, vedi Come funziona OS Login.

Quando ti connetti alle VM in cui è attivata la verifica in due passaggi per l'accesso al sistema operativo, viene visualizzato anche un messaggio basato sul metodo di verifica in due passaggi o sul tipo di verifica selezionato. Per il metodo di richiesta sullo smartphone, accetta le richieste sullo smartphone o sul tablet per continuare. Per gli altri metodi, inserisci il codice di sicurezza o la password monouso.

Risolvere i problemi relativi a OS Login

Per trovare metodi per diagnosticare e risolvere gli errori di OS Login, consulta Risoluzione dei problemi relativi a OS Login.

Passaggi successivi