Configura OS Login

Questo documento descrive come configurare OS Login e OS Login con autenticazione a due fattori (2FA).

OS Login ti consente di controllare l'accesso alle istanze di macchine virtuali (VM) in base alle autorizzazioni IAM. Puoi utilizzare OS Login con o senza l'autenticazione a due fattori, ma non puoi utilizzare l'autenticazione a due fattori senza utilizzare OS Login. Per scoprire di più su OS Login e sull'autenticazione a due fattori (2FA) di OS Login, inclusi i tipi di verifica supportati da OS Login, consulta la sezione Informazioni su OS Login.

Prima di iniziare

Limitazioni

OS Login non è supportato sulle seguenti VM:

Assegna ruoli IAM OS Login

Assegna tutti i ruoli IAM richiesti agli utenti che si connettono alle VM con OS Login abilitato.

Ruolo Utenti obbligatori Livello di autorizzazione
roles/compute.osLogin o roles/compute.osAdminLogin Tutti gli utenti

Nel progetto o nell'istanza.

Se un utente richiede l'accesso SSH dalla console Google Cloud o da Google Cloud CLI, devi concedere questi ruoli a livello di progetto oppure concedere un ruolo aggiuntivo a livello di progetto che contenga l'autorizzazione compute.projects.get.
roles/iam.serviceAccountUser Tutti gli utenti, se la VM ha un account di servizio Nell'account di servizio.
roles/compute.osLoginExternalUser Utenti di un'organizzazione diversa da quella della VM a cui si connettono

Nella sezione Organizzazione.

Questo ruolo deve essere concesso da un amministratore dell'organizzazione.

Attiva OS Login

Puoi abilitare OS Login o OS Login con autenticazione a due fattori per una singola VM o per tutte le VM di un progetto impostando i metadati di OS Login.

Quando imposti i metadati di OS Login, Compute Engine elimina i file authorized_keys della VM e non accetta più connessioni dalle chiavi SSH archiviate nei metadati del progetto o dell'istanza.

Attiva OS Login per tutte le VM in un progetto

Per attivare OS Login per tutte le VM di un progetto, imposta i seguenti valori nei metadati del progetto:

  1. Attiva OS Login:
    • Chiave: enable-oslogin
    • Valore: TRUE
  2. (Facoltativo) Attiva l'autenticazione a due fattori:
    • Chiave: enable-oslogin-2fa
    • Valore: TRUE

Attiva OS Login per una singola VM

Per attivare OS Login per una singola VM, imposta i seguenti valori nei metadati dell'istanza:

  1. Attiva OS Login:
    • Chiave: enable-oslogin
    • Valore: TRUE
  2. (Facoltativo) Attiva l'autenticazione a due fattori:
    • Chiave: enable-oslogin-2fa
    • Valore: TRUE

Attiva OS Login durante la creazione della VM

Abilita OS Login (facoltativamente, con la verifica in due passaggi) durante la creazione di una VM utilizzando la console Google Cloud o gcloud CLI.

Console

Crea una VM che abiliti OS Login e (facoltativamente) l'autenticazione a due fattori di OS Login all'avvio creando una VM da un'immagine pubblica e specificando le seguenti configurazioni:

  1. Espandi la sezione Opzioni avanzate.
  2. Espandi la sezione Sicurezza.
  3. Espandi la sezione Gestisci accesso.
  4. Seleziona Controlla l'accesso alle VM tramite autorizzazioni IAM.
  5. (Facoltativo) Se vuoi attivare l'autenticazione a due fattori di OS Login, seleziona Richiedi la verifica in due passaggi.
  6. Fai clic su Crea per creare e avviare la VM.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Crea una VM che attivi OS Login e (facoltativamente) l'autenticazione a due fattori (2FA) di OS Login all'avvio eseguendo uno dei seguenti comandi gcloud compute instance create:

    • Per abilitare solo OS Login, esegui questo comando:

      gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE

    • Per abilitare l'autenticazione a due fattori di OS Login, esegui questo comando:

      gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE

    Sostituisci quanto segue:

    • VM_NAME: il nome della nuova VM.
    • IMAGE_FAMILY: la famiglia di immagini di un sistema operativo Linux. In questo modo, la VM viene creata dall'immagine sistema operativo più recente e non deprecata. Per tutte le famiglie di immagini pubbliche, consulta Dettagli del sistema operativo.
    • IMAGE_PROJECT: il progetto di immagini che contiene la famiglia di immagini. Ogni sistema operativo ha il proprio progetto di immagini. Per tutti i progetti di immagini pubbliche, vedi Dettagli del sistema operativo.

Terraform

Puoi applicare i valori dei metadati ai tuoi progetti o alle tue VM utilizzando una delle seguenti opzioni:

  • Opzione 1: imposta enable-oslogin nei metadati a livello di progetto in modo che si applichi a tutte le VM del progetto.

    Utilizza la risorsa Terraform google_compute_project_metadata e imposta un valore dei metadati in cui oslogin=TRUE:

    resource "google_compute_project_metadata" "default" {
  metadata = {
    enable-oslogin = "TRUE"
  }
}

    In alternativa, puoi impostare enable-oslogin su FALSE per disattivare OS Login.

  • Opzione 2: imposta enable-oslogin nei metadati di una VM nuova o esistente.

    Utilizza la risorsa Terraform google_compute_instance e imposta oslogin=TRUE. Sostituisci oslogin_instance_name con il nome della tua VM.

    resource "google_compute_instance" "oslogin_instance" {
  name         = "oslogin-instance-name"
  machine_type = "f1-micro"
  zone         = "us-central1-c"
  metadata = {
    enable-oslogin : "TRUE"
  }
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }
  network_interface {
    # A default network is created for all GCP projects
    network = "default"
    access_config {
    }
  }
}

    In alternativa, puoi impostare enable-oslogin su FALSE per escludere la tua VM dall'utilizzo di OS Login.

Connettiti alle VM con OS Login abilitato

Connettiti alle VM con l'OS Login abilitato utilizzando i metodi descritti in Connettiti alle VM Linux.

Quando ti connetti alle VM su cui è attivato OS Login, Compute Engine utilizza il nome utente configurato per te dall'amministratore della tua organizzazione. Se l'amministratore dell'organizzazione non ha configurato un nome utente per te, Compute Engine genera un nome utente nel formato USERNAME_DOMAIN_SUFFIX. Per ulteriori informazioni sui nomi utente, vedi Come funziona OS Login.

Quando ti connetti alle VM con l'autenticazione a due fattori di OS Login attivata, visualizzi anche un messaggio in base al tipo di verifica o alla verifica in due passaggi selezionata. Per il metodo di richiesta sullo smartphone, accetta le richieste sullo smartphone o sul tablet per continuare. Per altri metodi, inserisci il codice di sicurezza o la password monouso.

Risolvi i problemi relativi a OS Login

Per trovare metodi per diagnosticare e risolvere gli errori di OS Login, consulta Risoluzione dei problemi relativi a OS Login.

Passaggi successivi