Dokumen ini menjelaskan cara menyiapkan Login OS dan Login OS dengan autentikasi 2 langkah (2FA).
Login OS memungkinkan Anda mengontrol akses ke instance virtual machine (VM) berdasarkan izin IAM. Anda dapat menggunakan Login OS dengan atau tanpa 2FA, tetapi Anda tidak dapat menggunakan 2FA tanpa menggunakan Login OS. Untuk mempelajari lebih lanjut Login OS dan Login OS 2FA, termasuk jenis verifikasi yang didukung Login OS, lihat Tentang Login OS.
Sebelum memulai
- Jika Anda ingin menggunakan OS Login 2FA, aktifkan 2FA pada domain atau akun Anda:
-
Siapkan autentikasi, jika Anda belum melakukannya.
Autentikasi adalah proses verifikasi identitas Anda untuk akses ke layanan dan API Google Cloud.
Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke Compute Engine sebagai berikut.
Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:
Konsol
Saat menggunakan Konsol Google Cloud untuk mengakses API dan layanan Google Cloud, Anda tidak perlu menyiapkan autentikasi.
gcloud
-
Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
gcloud init
- Menetapkan region dan zona default.
Terraform
Untuk menggunakan contoh Terraform di halaman ini dari lingkungan pengembangan lokal, instal dan lakukan inisialisasi gcloud CLI, lalu siapkan Kredensial Default Aplikasi dengan kredensial pengguna Anda.
- Menginstal Google Cloud CLI.
-
Untuk initialize gcloud CLI, jalankan perintah berikut:
gcloud init
-
Buat kredensial autentikasi lokal untuk Akun Google Anda:
gcloud auth application-default login
Untuk informasi selengkapnya, lihat Siapkan autentikasi untuk lingkungan pengembangan lokal.
-
Batasan
Login OS tidak didukung di VM berikut:- VM Windows Server dan SQL Server
- VM Fedora CoreOS. Untuk mengelola akses instance ke VM yang dibuat menggunakan image ini, gunakan sistem ignisi Fedora CoreOS
Menetapkan peran IAM Login OS
Tetapkan semua peran IAM yang diperlukan kepada pengguna yang terhubung ke VM yang mengaktifkan Login OS.
Peran | Pengguna wajib | Tingkat pemberian izin |
---|---|---|
roles/compute.osLogin
atau roles/compute.osAdminLogin |
Semua pengguna |
Jika pengguna memerlukan akses SSH dari Google Cloud Console atau Google Cloud CLI, Anda harus memberikan peran ini di level project, atau juga memberikan peran di level project yang berisi |
roles/iam.serviceAccountUser |
Semua pengguna, jika VM memiliki akun layanan | Di Akun layanan. |
roles/compute.osLoginExternalUser
| Pengguna dari organisasi yang berbeda dari VM yang terhubung | Di Organization. Peran ini harus diberikan oleh administrator organisasi. |
Mengaktifkan Login OS
Anda dapat mengaktifkan Login OS atau Login OS dengan autentikasi 2 langkah untuk satu VM, atau semua VM dalam suatu project, dengan menyetel metadata Login OS.
Jika Anda menetapkan metadata Login OS, Compute Engine akan menghapus file authorized_keys
VM dan tidak lagi menerima koneksi dari kunci SSH yang disimpan dalam metadata project atau instance.
Mengaktifkan Login OS untuk semua VM dalam sebuah project
Agar dapat mengaktifkan Login OS untuk semua VM dalam sebuah project, tetapkan nilai berikut di metadata project:
- Mengaktifkan Login OS:
- Kunci:
enable-oslogin
- Nilai:
TRUE
- Kunci:
- (Opsional) Aktifkan autentikasi 2 langkah:
- Kunci:
enable-oslogin-2fa
- Nilai:
TRUE
- Kunci:
Mengaktifkan Login OS untuk satu VM
Agar dapat mengaktifkan Login OS untuk satu VM, tetapkan nilai berikut dalam metadata instance:
- Mengaktifkan Login OS:
- Kunci:
enable-oslogin
- Nilai:
TRUE
- Kunci:
- (Opsional) Aktifkan autentikasi 2 langkah:
- Kunci:
enable-oslogin-2fa
- Nilai:
TRUE
- Kunci:
Mengaktifkan Login OS selama pembuatan VM
Aktifkan Login OS (opsional, dengan verifikasi 2 langkah) saat membuat VM menggunakan Google Cloud Console atau gcloud CLI.
Konsol
Buat VM yang mengaktifkan Login OS dan (opsional) Login OS 2FA saat memulai dengan membuat VM dari image publik serta menentukan konfigurasi berikut:
- Di bagian Networking, disks, security, management, sole tenancy, luaskan bagian Security.
- Perluas bagian Manage access.
- Pilih Control VM access through IAM permissions.
- Opsional: Jika Anda ingin mengaktifkan Login OS 2FA, pilih Require two-step verification.
- Klik Create untuk membuat dan memulai VM.
gcloud
-
Di konsol Google Cloud, aktifkan Cloud Shell.
Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.
Buat VM yang mengaktifkan Login OS dan (opsional) Login OS 2FA saat startup dengan menjalankan salah satu dari perintah
gcloud compute instance create
berikut:Untuk mengaktifkan Login OS saja, jalankan perintah berikut:
gcloud compute instances create VM_NAME \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata enable-oslogin=TRUE
Untuk mengaktifkan OS Login 2FA, jalankan perintah berikut:
gcloud compute instances create VM_NAME \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE
Ganti kode berikut:
VM_NAME
: nama VM baru.IMAGE_FAMILY
: kelompok image OS Linux. Tindakan ini akan membuat VM dari image OS terbaru yang tidak dihentikan. Untuk semua kelompok image publik, lihat Detail sistem operasi.IMAGE_PROJECT
: project gambar yang berisi kelompok gambar. Setiap OS memiliki project gambar sendiri. Untuk semua project image publik, lihat Detail sistem operasi.
Terraform
Anda dapat menerapkan nilai metadata ke project atau VM menggunakan salah satu opsi berikut:
Opsi 1: Tetapkan
enable-oslogin
di metadata seluruh project agar diterapkan ke semua VM di project Anda.Gunakan resource Terraform
google_compute_project_metadata
dan tetapkan nilai metadata denganoslogin=TRUE
:Atau, Anda dapat mengaatur
enable-oslogin
keFALSE
untuk menonaktifkan Login OS.Opsi 2: Menetapkan
enable-oslogin
dalam metadata VM baru atau yang sudah ada.Gunakan resource Terraform
google_compute_instance
dan tetapkanoslogin=TRUE
. Gantioslogin_instance_name
dengan nama VM Anda.Atau, Anda dapat menetapkan
enable-oslogin
keFALSE
untuk mengecualikan VM agar tidak menggunakan Login OS.
Menghubungkan ke VM yang mengaktifkan Login OS
Hubungkan ke VM yang mengaktifkan Login OS menggunakan metode yang dijelaskan dalam Menghubungkan ke VM Linux.
Saat Anda terhubung ke VM yang mengaktifkan Login OS, Compute Engine akan menggunakan nama pengguna yang dikonfigurasi oleh administrator organisasi untuk Anda.
Jika administrator organisasi Anda belum mengonfigurasi nama pengguna, Compute Engine akan membuat nama pengguna dalam format USERNAME_DOMAIN_SUFFIX
.
Untuk informasi selengkapnya tentang nama pengguna, lihat Cara kerja Login OS.
Saat terhubung ke VM yang mengaktifkan OS Login 2FA, Anda juga akan melihat pesan berdasarkan metode verifikasi 2 langkah atau jenis tantangan yang dipilih. Untuk metode perintah ponsel, terima perintah di ponsel atau tablet untuk melanjutkan. Untuk metode lain, masukkan kode keamanan atau sandi sekali pakai.
Memecahkan masalah Login OS
Untuk menemukan metode dalam mendiagnosis dan menyelesaikan error Login OS, lihat Memecahkan Masalah Login OS.
Langkah selanjutnya
- Pelajari cara kerja koneksi SSH ke VM Linux di Compute Engine.
- Pelajari cara menggunakan SSH dengan kunci keamanan untuk membatasi akses lebih lanjut ke VM.