Cette page présente le service OS Login et son fonctionnement. Pour savoir comment configurer OS Login, consultez la section Configurer OS Login.
Utilisez OS Login pour gérer l'accès SSH à vos instances à l'aide d'IAM, sans avoir à créer et gérer des clés SSH individuelles. La connexion au système d'exploitation maintient une identité d'utilisateur Linux cohérente sur toutes les instances de VM et constitue le moyen privilégié de gérer de nombreux utilisateurs sur plusieurs VM ou projets.
Avantages d'OS Login
La connexion au système d'exploitation simplifie la gestion des accès SSH en associant votre compte utilisateur Linux à votre identité Google. Les administrateurs peuvent facilement gérer l'accès aux instances, au niveau d'une instance ou d'un projet en définissant des autorisations IAM.
La connexion au système d'exploitation offre les avantages suivants :
Gestion automatique du cycle de vie d'un compte Linux : vous pouvez associer directement un compte utilisateur Linux à l'identité Google d'un utilisateur, de sorte que les informations de compte Linux soient utilisées dans toutes les instances du même projet ou de la même organisation.
Attribution d'autorisations précises à l'aide de Google IAM : les administrateurs de projets et d'instances peuvent utiliser IAM pour autoriser l'accès SSH à l'identité Google d'un utilisateur, sans étendre les droits dont il dispose. Par exemple, vous pouvez autoriser un utilisateur à se connecter au système, mais pas à exécuter des commandes telles que
sudo. Google vérifie ces autorisations pour déterminer si un utilisateur peut se connecter à une instance de VM.Mises à jour automatiques des autorisations : avec OS Login, les autorisations sont mises à jour automatiquement lorsqu'un administrateur modifie les autorisations IAM. Par exemple, si vous supprimez les autorisations IAM d'une identité Google, l'accès aux instances de VM est alors révoqué. Google vérifie les autorisations pour chaque tentative de connexion afin d'empêcher les accès indésirables.
Possibilité d'importer des comptes Linux existants : les administrateurs peuvent éventuellement choisir de synchroniser les informations de compte Linux à partir d'Active Directory (AD) et du protocole LDAP (Lightweight Directory Access Protocol) configurés sur site. Par exemple, vous pouvez vous assurer que les utilisateurs ont le même identifiant utilisateur (UID) dans vos environnements Cloud et sur site.
Intégration à la validation en deux étapes du compte Google : vous pouvez éventuellement demander aux utilisateurs d'OS Login de valider leur identité lors de la connexion à des VM, grâce à l'une des méthodes de validation en deux étapes (2FA) ou l'un des types de questions d'authentification ci-dessous :
- Google Authenticator
- Code de validation par SMS ou appel téléphonique
- Invites téléphoniques
- Clé de sécurité OTP (mot de passe à usage unique)
Compatibilité avec l'authentification basée sur les certificats (version Preview) : vous pouvez utiliser l'authentification par certificat SSH pour vous connecter aux VM qui utilisent OS Login. Pour en savoir plus, consultez la section Exiger des certificats SSH avec OS Login.
Intégration aux journaux d'audit : OS Login propose une fonctionnalité de journalisation d'audit que vous pouvez utiliser pour surveiller les connexions aux VM pour les utilisateurs d'OS Login.
Fonctionnement d'OS Login
Lorsque OS Login est activé, Compute Engine effectue les configurations sur les VM et sur les comptes Google des utilisateurs d'OS Login.
Configuration de la VM
Lorsque vous activez OS Login, Compute Engine supprime les fichiers authorized_keys de la VM et configure un serveur OpenSSH. Ce serveur extrait les clés SSH associées au compte utilisateur Linux pour authentifier la tentative de connexion.
Vous pouvez configurer un fichier authorized_keys pour provisionner l'accès d'un compte utilisateur local même lorsque OS Login est activé. Les clés publiques SSH configurées dans le fichier authorized_keys permettent d'authentifier les tentatives de connexion de l'utilisateur local. Les comptes utilisateur locaux doivent avoir un nom d'utilisateur et un UID différents de ceux des utilisateurs d'OS Login.
Pour en savoir plus sur les composants d'OS Login, consultez la page GitHub d'OS Login.
Configuration de compte utilisateur
OS Login configure votre compte Google avec des informations POSIX, y compris un nom d'utilisateur, lorsque vous effectuez l'une des opérations suivantes :
- Se connecter à une VM compatible avec OS Login à l'aide de la console Google Cloud
- Se connecter à une VM compatible avec OS Login en utilisant gcloud CLI
- Importer une clé SSH publique en utilisant gcloud CLI
- Importer une clé SSH publique en utilisant l'API OS Login
OS Login configure les comptes POSIX avec les valeurs suivantes :
Nom d'utilisateur : nom d'utilisateur au format
USERNAME_DOMAIN_SUFFIX. Si l'utilisateur appartient à une organisation Google Workspace différente de celle hébergeant ses VM compatibles avec OS Login, son nom d'utilisateur porte le préfixeext_. Si l'utilisateur est un compte de service, son nom d'utilisateur porte le préfixesa_.Les administrateurs Cloud Identity peuvent modifier les noms d'utilisateur et les super-administrateurs Google Workspace peuvent modifier le format de nom d'utilisateur pour supprimer le suffixe de domaine.
UID:identifiant utilisateur unique compatible POSIX et généré de manière aléatoire.
GID : identifiant de groupe compatible POSIX, identique à l'UID.
Répertoire d'accueil : chemin d'accès au répertoire d'accueil de l'utilisateur.
Les administrateurs de l'organisation peuvent configurer et mettre à jour les informations du compte POSIX d'un utilisateur. Pour en savoir plus, consultez la page Modifier des comptes utilisateur en utilisant l'API Directory.
Étape suivante
- Pour obtenir des instructions détaillées, consultez l'une des procédures suivantes :
- Gérer OS Login dans une organisation
- Découvrez comment résoudre les problèmes liés à OS Login.