En esta página se describe el servicio de inicio de sesión con SO y cómo funciona. Para saber cómo configurar OS Login, consulta el artículo Configurar OS Login.
Usa OS Login para gestionar el acceso SSH a tus instancias con IAM sin tener que crear ni gestionar claves SSH individuales. Inicio de sesión del SO mantiene una identidad de usuario de Linux coherente en todas las instancias de VM y es la forma recomendada de gestionar muchos usuarios en varias VMs o proyectos.
Ventajas de OS Login
OS Login simplifica la gestión del acceso SSH vinculando tu cuenta de usuario de Linux a tu identidad de Google. Los administradores pueden gestionar fácilmente el acceso a las instancias a nivel de instancia o de proyecto configurando permisos de gestión de identidades y accesos.
Inicio de sesión del SO ofrece las siguientes ventajas:
Gestión automática del ciclo de vida de las cuentas de Linux: puedes vincular directamente una cuenta de usuario de Linux a la identidad de Google de un usuario para que se utilice la misma información de la cuenta de Linux en todas las instancias del mismo proyecto u organización.
Autorización detallada con la gestión de identidades y accesos de Google: los administradores a nivel de proyecto e instancia pueden usar la gestión de identidades y accesos para conceder acceso SSH a la identidad de Google de un usuario sin conceder un conjunto más amplio de privilegios. Por ejemplo, puedes conceder permisos a un usuario para iniciar sesión en el sistema, pero no para ejecutar comandos como
sudo. Google comprueba estos permisos para determinar si un usuario puede iniciar sesión en una instancia de VM.Actualizaciones automáticas de permisos: con Inicio de sesión del SO, los permisos se actualizan automáticamente cuando un administrador cambia los permisos de gestión de identidades y accesos. Por ejemplo, si quitas los permisos de gestión de identidades y accesos de una identidad de Google, se revoca el acceso a las instancias de VM. Google comprueba los permisos en cada intento de inicio de sesión para evitar accesos no deseados.
Posibilidad de importar cuentas de Linux: los administradores pueden sincronizar de forma opcional la información de las cuentas de Linux de Active Directory (AD) y del protocolo ligero de acceso a directorios (LDAP) que estén configurados de forma local. Por ejemplo, puedes asegurarte de que los usuarios tengan el mismo ID de usuario (UID) tanto en tu entorno en la nube como en el local.
Integración con la verificación en dos pasos de la cuenta de Google: puedes exigir que los usuarios de OS Login validen su identidad mediante uno de los siguientes métodos de verificación en dos pasos o tipos de verificación al conectarse a las VMs:
- Google Authenticator
- Verificación por mensaje de texto o llamada telefónica
- Mensajes telefónicos
- Contraseña de un solo uso (OTP) de llave de seguridad
Compatibilidad con la autenticación basada en certificados (vista previa): puedes usar la autenticación con certificados SSH para conectarte a VMs que usen OS Login. Para obtener más información, consulta el artículo Requerir certificados SSH con Inicio de sesión del SO.
Integración con el registro de auditoría: OS Login proporciona registros de auditoría que puedes usar para monitorizar las conexiones a las VMs de los usuarios de OS Login.
Cómo funciona OS Login
Cuando OS Login está habilitado, Compute Engine realiza configuraciones en las VMs y en las cuentas de Google de los usuarios de OS Login.
Configuración de la VM
Cuando habilitas OS Login, Compute Engine elimina los authorized_keys
archivos de la VM y configura un servidor OpenSSH. Este servidor recupera las claves SSH asociadas a la cuenta de usuario de Linux para autenticar el intento de inicio de sesión.
Puedes configurar un archivo authorized_keys para aprovisionar el acceso de una cuenta de usuario local aunque la función Inicio de sesión del SO esté habilitada. Las claves públicas SSH configuradas en el archivo authorized_keys se usan para autenticar los intentos de inicio de sesión de los usuarios locales. Las cuentas de usuario locales y los usuarios de inicio de sesión del SO deben tener nombres de usuario y UIDs diferentes.
Para obtener más información sobre los componentes de Inicio de sesión del SO, consulta la página de GitHub de Inicio de sesión del SO.
Configuración de cuentas de usuario
OS Login configura tu cuenta de Google con información de POSIX, incluido un nombre de usuario, cuando haces alguna de las siguientes acciones:
- Conectarse a una VM con OS Login mediante la Google Cloud consola
- Conectarse a una VM con OS Login habilitado mediante gcloud CLI
- Importar una clave pública SSH con la CLI de gcloud
- Importar una clave pública SSH mediante la API OS Login
OS Login configura las cuentas POSIX con los siguientes valores:
Nombre de usuario: un nombre de usuario con el formato de
USERNAME_DOMAIN_SUFFIX. Si el usuario pertenece a una organización de Google Workspace diferente a la que aloja sus VMs con inicio de sesión con SO habilitado, su nombre de usuario tendrá el prefijoext_. Si el usuario es una cuenta de servicio, su nombre de usuario tiene el prefijosa_.Los administradores de Cloud Identity pueden modificar los nombres de usuario, y los superadministradores de Google Workspace pueden cambiar el formato del nombre de usuario para eliminar el sufijo de dominio.
UID: un ID de usuario único, generado aleatoriamente y compatible con POSIX.
GID: un ID de grupo compatible con POSIX que es el mismo que el UID.
Directorio principal: la ruta al directorio principal del usuario.
Los administradores de la organización pueden configurar y actualizar la información de la cuenta POSIX de un usuario. Para obtener más información, consulta el artículo Modificar cuentas de usuario con la API Directory.
Siguientes pasos
- Para ver instrucciones detalladas, consulta uno de los siguientes artículos:
- Consulta el artículo Gestionar OS Login en una organización.
- Soluciona problemas de OS Login.