Questo documento descrive come configurare OS Login e OS Login con l'accesso a due fattori l'autenticazione a due fattori (2FA).
OS Login ti consente di controllare l'accesso alle istanze di macchine virtuali (VM) in base sulle autorizzazioni IAM. Puoi utilizzare OS Login con o senza 2FA, ma non puoi utilizzare l'autenticazione a due fattori senza utilizzare OS Login. Per scoprire di più su OS Login e OS Login 2FA, inclusi i tipi di verifica supportati da OS Login, consulta Informazioni su OS Login.
Prima di iniziare
- Se vuoi utilizzare OS Login 2FA, attiva 2FA sul tuo dominio o account:
-
Se non l'hai già fatto, configura l'autenticazione.
Autenticazione è
la procedura di verifica dell'identità per l'accesso ai servizi e alle API di Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi eseguire l'autenticazione
Compute Engine come segue.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create local authentication credentials for your user account:
gcloud auth application-default login
Terraform
Per utilizzare gli esempi di Terraform in questa pagina in un ambiente dell'ambiente di sviluppo, installare e inizializzare gcloud CLI quindi configura Credenziali predefinite dell'applicazione con le tue credenziali utente.
Per ulteriori informazioni, vedi Set up authentication for a local development environment.
-
Limitazioni
OS Login non è supportato sulle seguenti VM:- VM Windows Server e SQL Server
- VM Fedora CoreOS. Per gestire l'accesso alle istanze VM create utilizzando questi utilizza il sistema di accensione Fedora CoreOS
Assegna ruoli IAM OS Login
Assegna tutti i ruoli IAM richiesti agli utenti che si connettono alle VM con sistema operativo Accesso abilitato.
Ruolo | Utenti obbligatori | Livello di concessione |
---|---|---|
roles/compute.osLogin
o roles/compute.osAdminLogin |
Tutti gli utenti |
Se un utente richiede l'accesso SSH dalla console Google Cloud o da Google Cloud CLI,
devi concedere questi ruoli a livello di progetto oppure concedere inoltre un
ruolo a livello di progetto che contiene |
roles/iam.serviceAccountUser |
Tutti gli utenti, se la VM ha un account di servizio | In Account di servizio. |
roles/compute.osLoginExternalUser
| Utenti di un'organizzazione diversa dalla VM a cui si connettono | Nella pagina Organizzazione. Questo ruolo deve essere concesso da un amministratore dell'organizzazione. |
Attiva OS Login
Puoi abilitare OS Login o OS Login con l'autenticazione a due fattori per una singola VM o tutte le VM di un progetto impostando i metadati di OS Login.
Quando imposti i metadati di OS Login, Compute Engine elimina i metadati
authorized_keys
e non accetta più connessioni da chiavi SSH che sono
archiviati nei metadati di progetto o istanza.
Abilita OS Login per tutte le VM in un progetto
Per abilitare OS Login per tutte le VM in un progetto, imposta i seguenti valori in metadati del progetto:
- Abilita OS Login:
- Chiave:
enable-oslogin
- Valore:
TRUE
- Chiave:
- (Facoltativo) Attiva l'autenticazione a due fattori:
- Chiave:
enable-oslogin-2fa
- Valore:
TRUE
- Chiave:
Abilita OS Login per una singola VM
Per abilitare OS Login per una singola VM, imposta i seguenti valori in metadati dell'istanza:
- Abilita OS Login:
- Chiave:
enable-oslogin
- Valore:
TRUE
- Chiave:
- (Facoltativo) Attiva l'autenticazione a due fattori:
- Chiave:
enable-oslogin-2fa
- Valore:
TRUE
- Chiave:
Abilita OS Login durante la creazione della VM
Abilita OS Login (facoltativamente, con la verifica in due passaggi) durante la creazione di una VM utilizzando la console Google Cloud o gcloud CLI.
Console
Crea una VM che abilita OS Login e (facoltativamente) OS Login 2FA all'avvio creando una VM da un'immagine pubblica e specificando le seguenti configurazioni:
- Espandi la sezione Opzioni avanzate.
- Espandi la sezione Sicurezza.
- Espandi la sezione Gestisci accesso.
- Seleziona Controlla l'accesso alle VM tramite le autorizzazioni IAM.
- (Facoltativo) Se vuoi attivare OS Login 2FA, seleziona Richiedere la verifica in due passaggi.
- Fai clic su Crea per creare e avviare la VM.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Crea una VM che abilita OS Login e (facoltativamente) OS Login 2FA all'avvio eseguendo uno dei seguenti Comandi
gcloud compute instance create
:Per abilitare solo OS Login, esegui questo comando:
gcloud compute instances create VM_NAME \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata enable-oslogin=TRUE
Per abilitare OS Login 2FA, esegui il comando seguente:
gcloud compute instances create VM_NAME \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE
Sostituisci quanto segue:
VM_NAME
: il nome della nuova VM.IMAGE_FAMILY
: la famiglia di immagini di un sistema operativo Linux. Questo crea la VM dall'immagine del sistema operativo non deprecata più recente. Per tutti di immagini pubbliche, consulta Dettagli del sistema operativo.IMAGE_PROJECT
: il progetto immagine che contiene famiglia di immagini. Ogni sistema operativo ha il proprio progetto di immagine. Per tutte le immagini pubbliche progetti, consulta la sezione Dettagli del sistema operativo.
Terraform
Puoi applicare i valori dei metadati ai progetti o alle VM utilizzando uno dei le seguenti opzioni:
Opzione 1: imposta
enable-oslogin
nei metadati a livello di progetto in modo che a tutte le VM nel progetto.Utilizza la
google_compute_project_metadata
Risorsa Terraform e imposta un valore dei metadati in cuioslogin=TRUE
:In alternativa, puoi impostare
enable-oslogin
suFALSE
per disattivare OS Login.Opzione 2: imposta
enable-oslogin
nei metadati di una risorsa nuova o esistente VM.Utilizza la
google_compute_instance
Risorsa Terraform e setoslogin=TRUE
. Sostituiscioslogin_instance_name
con il nome della tua VM.In alternativa, puoi impostare
enable-oslogin
suFALSE
per escludere alla VM utilizzando OS Login.
Connettiti alle VM in cui è abilitato OS Login
Connettiti alle VM in cui è abilitato OS Login utilizzando i metodi descritti in Connettiti alle VM Linux.
Quando ti connetti alle VM in cui è abilitato OS Login, Compute Engine utilizza
nome utente configurato per te dall'amministratore dell'organizzazione.
Se l'amministratore della tua organizzazione non ha configurato un nome utente per te,
Compute Engine genera un nome utente nel formato USERNAME_DOMAIN_SUFFIX
.
Per ulteriori informazioni sui nomi utente, vedi Come funziona OS Login.
Quando ti connetti alle VM in cui è abilitata OS Login 2FA, viene visualizzato anche un messaggio in base al metodo di verifica in due passaggi o al tipo di verifica selezionato. Per smartphone, accetta le richieste sullo smartphone o sul tablet per continuare. Per altri metodi, inserisci il tuo codice di sicurezza o la password monouso.
Risolvere i problemi di OS Login
Per trovare i metodi per diagnosticare e risolvere gli errori di OS Login, vedi Risoluzione dei problemi di OS Login.
Passaggi successivi
- Scopri come funzionano le connessioni SSH alle VM Linux su in Compute Engine.
- Scopri come utilizzare l'SSH con i token di sicurezza per limitare ulteriormente l'accesso alle VM.