Menyiapkan Login OS

Dokumen ini menjelaskan cara menyiapkan Login OS dan Login OS dengan autentikasi 2 langkah (2FA).

Login OS memungkinkan Anda mengontrol akses ke instance virtual machine (VM) berdasarkan izin IAM. Anda dapat menggunakan Login OS dengan atau tanpa 2FA, tetapi Anda tidak dapat menggunakan 2FA tanpa menggunakan Login OS. Untuk mempelajari lebih lanjut Login OS dan Login OS 2FA, termasuk jenis verifikasi yang didukung Login OS, lihat Tentang Login OS.

Sebelum memulai

Jika Anda ingin menggunakan OS Login 2FA, aktifkan 2FA pada domain atau akun Anda:
- Aktifkan autentikasi dua langkah untuk domain Anda.
- Aktifkan autentikasi dua langkah untuk akun pengguna Anda.
Siapkan autentikasi, jika Anda belum melakukannya. Autentikasi adalah proses verifikasi identitas Anda untuk akses ke layanan dan API Google Cloud. Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke Compute Engine sebagai berikut.

Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:
Konsol

Saat menggunakan Konsol Google Cloud untuk mengakses API dan layanan Google Cloud, Anda tidak perlu menyiapkan autentikasi.
gcloud
1. Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
  gcloud init
  Catatan: Jika Anda telah menginstal gcloud CLI sebelumnya, pastikan Anda memiliki versi baru dengan menjalankan gcloud components update.
2. Menetapkan region dan zona default.
Terraform

Untuk menggunakan contoh Terraform di halaman ini dari lingkungan pengembangan lokal, instal dan lakukan inisialisasi gcloud CLI, lalu siapkan Kredensial Default Aplikasi dengan kredensial pengguna Anda.
1. Menginstal Google Cloud CLI.
2. Untuk initialize gcloud CLI, jalankan perintah berikut:
  gcloud init
3. Buat kredensial autentikasi lokal untuk Akun Google Anda:
  gcloud auth application-default login
Untuk informasi selengkapnya, lihat Siapkan autentikasi untuk lingkungan pengembangan lokal.

Batasan

VM Windows Server dan SQL Server
VM Fedora CoreOS. Untuk mengelola akses instance ke VM yang dibuat menggunakan image ini, gunakan sistem ignisi Fedora CoreOS

Menetapkan peran IAM Login OS

Tetapkan semua peran IAM yang diperlukan kepada pengguna yang terhubung ke VM yang mengaktifkan Login OS.

Peran Pengguna wajib Tingkat pemberian izin

Peran	Pengguna wajib	Tingkat pemberian izin
`roles/compute.osLogin` atau `roles/compute.osAdminLogin`	Semua pengguna	Pada Project atau instance. Jika pengguna memerlukan akses SSH dari Google Cloud Console atau Google Cloud CLI, Anda harus memberikan peran ini di level project, atau juga memberikan peran di level project yang berisi `compute.projects.get` izin.
`roles/iam.serviceAccountUser`	Semua pengguna, jika VM memiliki akun layanan	Di Akun layanan.
`roles/compute.osLoginExternalUser`	Pengguna dari organisasi yang berbeda dari VM yang terhubung	Di Organization. Peran ini harus diberikan oleh administrator organisasi.

roles/compute.osLogin atau roles/compute.osAdminLogin

Semua pengguna

Pada Project atau instance.

Jika pengguna memerlukan akses SSH dari Google Cloud Console atau Google Cloud CLI, Anda harus memberikan peran ini di level project, atau juga memberikan peran di level project yang berisi compute.projects.get izin.

roles/iam.serviceAccountUser Semua pengguna, jika VM memiliki akun layanan Di Akun layanan.

roles/compute.osLoginExternalUser

Pengguna dari organisasi yang berbeda dari VM yang terhubung

Di Organization.

Peran ini harus diberikan oleh administrator organisasi.

Mengaktifkan Login OS

Anda dapat mengaktifkan Login OS atau Login OS dengan autentikasi 2 langkah untuk satu VM, atau semua VM dalam suatu project, dengan menyetel metadata Login OS.

Jika Anda menetapkan metadata Login OS, Compute Engine akan menghapus file authorized_keys VM dan tidak lagi menerima koneksi dari kunci SSH yang disimpan dalam metadata project atau instance.

Mengaktifkan Login OS untuk semua VM dalam sebuah project

Agar dapat mengaktifkan Login OS untuk semua VM dalam sebuah project, tetapkan nilai berikut di metadata project:

Mengaktifkan Login OS:
- Kunci: enable-oslogin
- Nilai: TRUE
(Opsional) Aktifkan autentikasi 2 langkah:
- Kunci: enable-oslogin-2fa
- Nilai: TRUE

Mengaktifkan Login OS untuk satu VM

Agar dapat mengaktifkan Login OS untuk satu VM, tetapkan nilai berikut dalam metadata instance:

Mengaktifkan Login OS:
- Kunci: enable-oslogin
- Nilai: TRUE
(Opsional) Aktifkan autentikasi 2 langkah:
- Kunci: enable-oslogin-2fa
- Nilai: TRUE

Mengaktifkan Login OS selama pembuatan VM

Aktifkan Login OS (opsional, dengan verifikasi 2 langkah) saat membuat VM menggunakan Google Cloud Console atau gcloud CLI.

Konsol

Buat VM yang mengaktifkan Login OS dan (opsional) Login OS 2FA saat memulai dengan membuat VM dari image publik serta menentukan konfigurasi berikut:

Di bagian Networking, disks, security, management, sole tenancy, luaskan bagian Security.
Perluas bagian Manage access.
Pilih Control VM access through IAM permissions.
Opsional: Jika Anda ingin mengaktifkan Login OS 2FA, pilih Require two-step verification.
Klik Create untuk membuat dan memulai VM.

gcloud

Di konsol Google Cloud, aktifkan Cloud Shell.

Aktifkan Cloud Shell

Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.
Buat VM yang mengaktifkan Login OS dan (opsional) Login OS 2FA saat startup dengan menjalankan salah satu dari perintah gcloud compute instance create berikut:
- Untuk mengaktifkan Login OS saja, jalankan perintah berikut:
```
gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE
```
- Untuk mengaktifkan OS Login 2FA, jalankan perintah berikut:
```
gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE
```
Ganti kode berikut:
- VM_NAME: nama VM baru.
- IMAGE_FAMILY: kelompok image OS Linux. Tindakan ini akan membuat VM dari image OS terbaru yang tidak dihentikan. Untuk semua kelompok image publik, lihat Detail sistem operasi.
- IMAGE_PROJECT: project gambar yang berisi kelompok gambar. Setiap OS memiliki project gambar sendiri. Untuk semua project image publik, lihat Detail sistem operasi.

Terraform

Anda dapat menerapkan nilai metadata ke project atau VM menggunakan salah satu opsi berikut:

Opsi 1: Tetapkan enable-oslogin di metadata seluruh project agar diterapkan ke semua VM di project Anda.

Gunakan resource Terraform google_compute_project_metadata dan tetapkan nilai metadata dengan oslogin=TRUE:
```
resource "google_compute_project_metadata" "default" {
  metadata = {
    enable-oslogin = "TRUE"
  }
}
```
Atau, Anda dapat mengaatur enable-oslogin ke FALSE untuk menonaktifkan Login OS.

Opsi 2: Menetapkan enable-oslogin dalam metadata VM baru atau yang sudah ada.

Gunakan resource Terraform google_compute_instance dan tetapkan oslogin=TRUE. Ganti oslogin_instance_name dengan nama VM Anda.

resource "google_compute_instance" "oslogin_instance" {
  name         = "oslogin-instance-name"
  machine_type = "f1-micro"
  zone         = "us-central1-c"
  metadata = {
    enable-oslogin : "TRUE"
  }
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }
  network_interface {
    # A default network is created for all GCP projects
    network = "default"
    access_config {
    }
  }
}

Atau, Anda dapat menetapkan enable-oslogin ke FALSE untuk mengecualikan VM agar tidak menggunakan Login OS.

Menghubungkan ke VM yang mengaktifkan Login OS

Hubungkan ke VM yang mengaktifkan Login OS menggunakan metode yang dijelaskan dalam Menghubungkan ke VM Linux.

Saat Anda terhubung ke VM yang mengaktifkan Login OS, Compute Engine akan menggunakan nama pengguna yang dikonfigurasi oleh administrator organisasi untuk Anda. Jika administrator organisasi Anda belum mengonfigurasi nama pengguna, Compute Engine akan membuat nama pengguna dalam format USERNAME_DOMAIN_SUFFIX. Untuk informasi selengkapnya tentang nama pengguna, lihat Cara kerja Login OS.

Saat terhubung ke VM yang mengaktifkan OS Login 2FA, Anda juga akan melihat pesan berdasarkan metode verifikasi 2 langkah atau jenis tantangan yang dipilih. Untuk metode perintah ponsel, terima perintah di ponsel atau tablet untuk melanjutkan. Untuk metode lain, masukkan kode keamanan atau sandi sekali pakai.

Memecahkan masalah Login OS

Untuk menemukan metode dalam mendiagnosis dan menyelesaikan error Login OS, lihat Memecahkan Masalah Login OS.

Langkah selanjutnya

Pelajari cara kerja koneksi SSH ke VM Linux di Compute Engine.
Pelajari cara menggunakan SSH dengan kunci keamanan untuk membatasi akses lebih lanjut ke VM.