Configura el Acceso al SO

El Acceso al SO te permite usar funciones de IAM de Compute Engine para administrar el acceso SSH a instancias de Linux. Además, es una alternativa para administrar de forma manual el acceso a instancias mediante la administración y eliminación de Llaves SSH en los metadatos.

En este tema, se cubren los pasos básicos para configurar el Acceso al SO. Cuando configuras el Acceso al SO, puede agregar una capa de seguridad mediante la autenticación de dos factores. Para obtener más información, consulta la página sobre cómo configurar el Acceso al SO con autenticación de dos factores.

Para configurar el Acceso al SO y conectarte a tus instancias, usa el siguiente proceso:

1. Habilita las características de Acceso al SO en tu proyecto o en instancias individuales.
2. Otorga las funciones de IAM necesarias a los miembros de tu proyecto, a los miembros de tu organización o a ti mismo.
3. De manera opcional, completa cualquiera de los siguientes pasos:
   • Agrega Llaves SSH personalizadas a las cuentas de usuarios para ti, los miembros del proyecto o los de la organización. Por otro lado, Compute Engine puede generar estas claves de forma automática cuando te conectes a instancias.
   • Si tu proyecto es parte de una organización, consulta Administra Acceso al SO en una organización.
4. Conéctate a las instancias.
5. Revisa los comportamientos de acceso esperados.

Antes de comenzar

• Si deseas usar los ejemplos de línea de comandos en esta guía, haz lo siguiente:
  1. Instala la herramienta de línea de comandos de gcloud o actualízala a la última versión.
  2. Configura una región y una zona predeterminadas.
• Si deseas usar los ejemplos de API de esta guía, configura el acceso a la API.

Limitaciones

• Por el momento, el Acceso al SO no es compatible con Google Kubernetes Engine (GKE). Los nodos del clúster de GKE usan Llaves SSH de metadatos incluso cuando el Acceso al SO está habilitado.

• Las familias de imágenes de Windows Server y SQL Server aún no son compatibles con el Acceso al SO.

Habilita o inhabilita el Acceso al SO

Antes de que puedas administrar el acceso a instancias con las funciones de IAM, debes habilitar la función de Acceso al SO mediante la configuración de un par clave-valor de metadatos en tu proyecto o en los metadatos de tu instancia: enable-oslogin=TRUE. Para inhabilitar el Acceso al SO, establece el valor de los metadatos en FALSE. Por ejemplo, puedes habilitar la característica en todo el proyecto con enable-oslogin=TRUE a nivel de proyecto, pero establecer enable-oslogin=FALSE en instancias específicas que aún no pueden usarla.

Puedes aplicar el valor de metadatos enable-oslogin en tus proyectos o instancias mediante una de las siguientes opciones:

gcloud compute project-info add-metadata \
    --metadata enable-oslogin=TRUE

gcloud compute instances add-metadata instance-name \
    --metadata enable-oslogin=TRUE

gcloud compute instances create instance-name \
    --metadata enable-oslogin=TRUE

Tu instancia debe tener los valores de metadatos necesarios y la versión más reciente del entorno de invitado instalada. Si tienes instancias que ejecutan imágenes personalizadas que importaste, instala el entorno de invitado en esas instancias para habilitar el Acceso al SO.

Después de habilitar el Acceso al SO en las instancias de tu proyecto, otorga a los usuarios permiso para conectarse a esas instancias.

Configura las funciones de Acceso al SO en cuentas de usuario

Otorga funciones de IAM de Acceso al SO

Después de habilitar el Acceso al SO en una o más instancias de tu proyecto, esas instancias aceptarán conexiones solo de cuentas de usuario que tengan las funciones de IAM necesarias en tu organización o proyecto.

Por ejemplo, puedes otorgar acceso a la instancia a los usuarios mediante el siguiente proceso:

1. Otorga al usuario las funciones de acceso a instancias necesarias.

   • Una de las siguientes funciones de acceso:

     • roles/compute.osLogin, que no otorga permisos de administrador

     • roles/compute.osAdminLogin, que otorga permisos de administrador

       Puedes otorgar las funciones roles/compute.osLogin o roles/compute.osAdminLogin en el nivel de instancia con el comando gcloud beta compute instances add-iam-policy-binding.

   • Si tu instancia de VM usa una cuenta de servicio, necesitas el roles/iam.serviceAccountUser de la cuenta de servicio asociada con la instancia de VM.

2. Si eres un administrador de la organización y deseas permitir que miembros fuera de la organización accedan a tus instancias, otorga roles/compute.osLoginExternalUser a esos usuarios a nivel de la organización.

Los usuarios no pueden ver detalles ni las direcciones IP externas de tus instancias, a menos que les proporciones esos datos de forma directa. Para ver los detalles de tus instancias, los usuarios necesitan funciones de IAM adicionales. Por ejemplo, la función roles/compute.viewer permite que los usuarios vean todos los recursos de tu proyecto, incluidos los detalles de las instancias.

Concede acceso SSH a una cuenta de servicio

Puedes usar las funciones de Acceso al SO para permitir que las cuentas de servicio establezcan conexiones SSH con tus instancias. Esto es útil para las siguientes tareas:

• Si tus aplicaciones requieren acceso SSH a tus instancias de Compute Engine, puedes proporcionar ese acceso a través de una cuenta de servicio. Para obtener más información, consulta Conecta aplicaciones a instancias mediante SSH.
• Para obtener información sobre cómo asumir los permisos de una cuenta de servicio y usarlos con el fin de establecer conexiones SSH entre instancias de forma manual, consulta la página sobre cómo establecer conexiones entre instancias de forma manual como una cuenta de servicio.

Puedes otorgar acceso SSH a tus cuentas de servicio mediante el siguiente proceso:

1. Crea una cuenta de servicio.
2. Otorga a tu cuenta de servicio las funciones de Acceso al SO necesarias. Las cuentas de servicio requieren las mismas funciones que las cuentas de usuario. Si quieres aprender a configurar funciones y permisos para cuentas de servicio, consulta la página sobre cómo conceder funciones a cuentas de servicio.
3. Otorga credenciales predeterminadas de la aplicación a tu cuenta de servicio para que pueda autorizar solicitudes a las API correspondientes. Otorga credenciales predeterminadas de la aplicación mediante una de las siguientes opciones:
   • Crea una instancia asociada con tu cuenta de servicio. La instancia proporciona credenciales predeterminadas de la aplicación a tu cuenta de servicio.
   • Proporciona las credenciales de la cuenta de servicio de forma manual a tu app si la ejecutas fuera del entorno de Compute Engine.

Después de otorgar acceso SSH a tus cuentas de servicio, puedes configurar tus apps para crear Llaves SSH y establecer conexiones SSH con otras instancias en tus redes de VPC. Lee el instructivo Conecta aplicaciones a instancias mediante SSH si quieres ver una app de ejemplo para la cuenta de servicio SSH.

Revoca funciones de IAM de Acceso al SO

Si quieres revocar el acceso del usuario a las instancias que estén habilitadas para usar el Acceso al SO, quita las funciones del usuario de esa cuenta de usuario. Para obtener información sobre cómo quitar una función de IAM a un usuario, consulta la página sobre cómo otorgar, cambiar y revocar el acceso a los recursos.

Cuando se revoca el acceso de un usuario, este seguirá teniendo llaves SSH públicas asociadas a su cuenta, pero esas claves ya no funcionarán en las instancias de VM.

Conéctate a instancias

Después de configurar las funciones necesarias, conéctate a una instancia con herramientas de Compute Engine. Compute Engine genera automáticamente Llaves SSH y las asocia a tu cuenta de usuario.

Como alternativa, si creas tus propias Llaves SSH y agregas las claves públicas a tu cuenta de usuario, puedes conectarte a instancias con herramientas de terceros. La instancia obtiene la clave pública de tu cuenta de usuario y permite que te conectes a la instancia si proporcionas el nombre de usuario correcto y la Llave SSH privada correspondiente.

Después de conectarte a tu instancia, revisa los comportamientos de acceso esperados.

Comportamientos de acceso esperados

• En algunas instancias que usan el Acceso al SO, es posible que recibas el siguiente mensaje de error después de establecer la conexión:

  /usr/bin/id: cannot find name for group ID 123456789

  Ignora este mensaje de error. Este error no afecta tus instancias.

• Si un administrador de G Suite no configura un nombre de usuario, el Acceso al SO genera un nombre de usuario de Linux predeterminado. Para hacerlo, combina el nombre de usuario y el dominio del correo electrónico asociado con el perfil de Google del usuario. Esta regla garantiza que los nombres no se repitan. Por ejemplo, si el correo electrónico de usuario asociado con el perfil de Google es user@example.com, entonces el nombre de usuario que se genera es user_example_com.

  Este nombre de usuario generado se basa en dominios asociados con una cuenta de G Suite. Si un usuario es de una organización independiente de G Suite, el nombre de usuario generado tiene el prefijo ‘ext_’. Por ejemplo, si user@example.com accede a una VM en una organización diferente, entonces el nombre de usuario generado es ext_user_example_com.

• Cuando accedes a una instancia mediante el comando gcloud compute ssh, el mensaje de acceso tiene el siguiente formato para un usuario user que pertenece al dominio example.com:

  Using OS Login user user_example_com instead of default user user

  Este mensaje confirma que el usuario está accediendo con un perfil de Acceso al SO.

Agrega llaves SSH a una cuenta de usuario

Puedes asociar Llaves SSH públicas con los siguientes tipos de cuenta de usuario:

• Cuentas de usuario administradas que forman parte de un recurso de organización:
  • G Suite
  • Cloud Identity
• Cuentas de Google para usuarios, como cuentas de gmail.com

Puedes usar la herramienta de línea de comandos de gcloud, o la API de Acceso al SO para agregar Llaves SSH a tu propia cuenta. De forma alternativa, si eres un administrador de dominio para una organización, puedes usar la API de Directorio para agregar Llaves SSH a la cuenta de usuario en tu organización.

gcloud compute os-login ssh-keys add \
    --key-file key-file-path \
    --ttl expire-time

POST https://oslogin.googleapis.com/v1/users/account-email:importSshPublicKey

{
 "key": "ssh-key",
 "expirationTimeUsec": "expiration-timestamp"
}

PUT https://www.googleapis.com/admin/directory/v1/users/user-id-key

{
 "sshPublicKeys": [
  {
   "key": "ssh-key",
   "expirationTimeUsec": "expiration-timestamp"
  },
  {
   "key": "ssh-key",
   "expirationTimeUsec": "expiration-timestamp"
  }
 ]
}

PUT https://www.googleapis.com/admin/directory/v1/users/user-id-key

{
  "sshPublicKeys": null
}

Después de agregar tus claves a tu cuenta, puedes conectarte a instancias con herramientas de terceros y con el nombre de usuario asociado a tu cuenta. El administrador de tu organización puede cambiar este nombre de usuario. Para encontrar el nombre de usuario para tu cuenta, ejecuta el comando gcloud compute os-login describe-profile:

gcloud compute os-login describe-profile

name: account-email
posixAccounts:
⋮
  username: user-name
⋮

Reemplaza lo siguiente:

• account-email: La dirección de correo electrónico que representa tu cuenta de usuario administrada.
• user-name: El nombre de usuario para establecer conexiones SSH. De forma predeterminada, esto se genera de tu account-email.

Próximos pasos

• Conéctate a las instancias.
• Obtén más información sobre el control de acceso de Compute Engine.
• Consulta Cuentas de servicio.
• Lee el instructivo Conecta aplicaciones a instancias mediante SSH si quieres ver una app de ejemplo para la cuenta de servicio SSH.
• Obtén más información sobre el acceso a proyectos de Google Cloud.