本頁說明 OS Login 服務及其運作原理。如要瞭解如何設定 OS 登入,請參閱「設定 OS 登入」。
使用 OS Login 可透過 IAM 管理執行個體的 SSH 存取權,而不用建立及管理個別的 SSH 金鑰。OS 登入可使 Linux 使用者身分在不同的 VM 執行個體中保持一致,因此建議您使用這個方式來管理多個 VM 或專案中的眾多使用者。
OS 登入的優點
OS 登入可將 Linux 使用者帳戶連結至您的 Google 身分,因而能簡化 SSH 存取權管理。管理員可在執行個體或專案層級,藉由設定 IAM 權限來輕鬆管理執行個體存取權。
OS 登入可提供以下優點:
自動化 Linux 帳戶生命週期管理:您可以直接將 Linux 使用者帳戶繫結至使用者的 Google 身分,以便讓相同的 Linux 帳戶資訊可以在同一專案或機構的所有執行個體中使用。
使用 Google IAM 進行精細的授權:專案和執行個體層級的管理員可使用 IAM,將 SSH 存取權授予使用者的 Google 身分,而不需要授予範圍更廣的權限集。舉例來說,您可以授予使用者登入系統、但不能執行
sudo等指令的權限。Google 會檢查這些權限,以判斷使用者是否可登入 VM 執行個體。自動更新權限:透過 OS 登入,當管理員變更 IAM 權限時,系統會自動更新權限。比方說,如果您將某個 Google 身分的 IAM 權限移除,則 VM 執行個體的存取權也會隨之撤銷。每次有使用者嘗試登入時,Google 都會檢查權限,以防有人擅自存取。
能夠匯入現有的 Linux 帳戶:管理員可以選擇從內部部署設定的 Active Directory (AD) 和輕量型目錄存取協定 (LDAP) 同步處理 Linux 帳戶資訊。例如,您可以確保使用者在您的 Cloud 和內部部署環境中都使用相同的使用者 ID (UID)。
與 Google 帳戶兩步驟驗證整合:您可以選擇要求 OS Login 使用者在連線至 VM 時,使用下列任一兩步驟驗證 (2FA) 方法或挑戰類型驗證身分:
- Google Authenticator
- 簡訊或語音通話驗證
- 手機提示
- 安全金鑰動態密碼
整合稽核記錄:OS 登入提供稽核記錄功能,可用於監控 OS 登入使用者與 VM 的連線情形。
OS 登入的運作原理
啟用 OS 登入功能後,Compute Engine 會在 VM 和 OS 登入使用者的 Google 帳戶上執行設定。
VM 設定
Google 提供的公開映像檔包括可用於管理 VM 存取權的公用程式和元件。啟用 OS 登入後,VM 上會設定下列元件和設定:
- 刪除 VM 的
authorized_keys檔案。 使用
AuthorizedKeysCommand選項設定 OpenSSH 伺服器。這個指令會擷取與 Linux 使用者帳戶相關聯的安全殼層 (SSH) 金鑰組,以驗證使用者嘗試登入的活動。設定 NSS (Name Service Switch,名稱服務切換) 功能,以提供 OS 登入使用者資訊給作業系統。
新增一組可插拔驗證模組 (PAM) 設定,協助授權使用者登入,例如設定 Linux 使用者帳戶的主目錄,或在啟用 2FA 時處理 2FA 挑戰。
如要進一步瞭解 OS Login 元件,請參閱 OS Login GitHub 頁面。
使用者帳戶設定
當您執行下列任何操作時,OS 登入會使用 POSIX 資訊設定 Google 帳戶,包括使用者名稱:
- 使用 Google Cloud 控制台連線至啟用 OS 登入功能的 VM
- 使用 gcloud CLI 連線至已啟用 OS 登入功能的 VM
- 使用 gcloud CLI 匯入公開安全殼層金鑰
- 使用 OS Login API 匯入公開安全殼層金鑰
OS Login 會使用下列值設定 POSIX 帳戶:
使用者名稱:使用者名稱,格式為
USERNAME_DOMAIN_SUFFIX。如果使用者來自不同 Google Workspace 機構,而該機構未代管其支援 OS 登入功能的 VM,則使用者名稱前面會加上ext_。如果使用者是服務帳戶,其使用者名稱會加上前置字串sa_。Cloud Identity 管理員可以修改使用者名稱,Google Workspace 超級管理員則可以變更使用者名稱格式,移除網域後置字串。
UID:隨機產生的專屬符合 POSIX 標準使用者 ID。
GID:符合 POSIX 標準的群組 ID,與 UID 相同。
主目錄:使用者主目錄的路徑。
機構組織管理員可以設定及更新使用者的 POSIX 帳戶資訊。詳情請參閱「使用 Directory API 修改使用者帳戶」。
後續步驟
- 如需逐步操作說明,請參閱下列其中一項:
- 查看管理機構中 OS Login
- 排解 OS 登入問題。