Configura OS Login

Questo documento descrive come configurare OS Login e OS Login con autenticazione a due fattori (2FA).

OS Login ti consente di controllare l'accesso alle istanze di macchine virtuali (VM) in base alle autorizzazioni IAM. Puoi utilizzare OS Login con o senza autenticazione a due fattori (2FA), ma non puoi utilizzare l'autenticazione a due fattori senza OS Login. Per scoprire di più su OS Login e sull'autenticazione a due fattori (2FA) di OS Login, inclusi i tipi di verifica supportati da OS Login, consulta Informazioni su OS Login.

Prima di iniziare

Limitazioni

OS Login non è supportato nelle seguenti VM:
  • VM Windows Server e SQL Server
  • VM Fedora CoreOS. Per gestire l'accesso delle istanze alle VM create utilizzando queste immagini, utilizza il sistema di ignizione Fedora CoreOS

Assegna i ruoli IAM per OS Login

Assegna tutti i ruoli IAM richiesti agli utenti che si connettono alle VM in cui è abilitato OS Login.

Ruolo Utenti obbligatori Livello di concessione
roles/compute.osLogin oppure roles/compute.osAdminLogin Tutti gli utenti

Nel progetto o nell'istanza.

Se un utente richiede l'accesso SSH dalla console Google Cloud o da Google Cloud CLI, devi concedere questi ruoli a livello di progetto oppure concedere un altro ruolo a livello di progetto contenente l'autorizzazione compute.projects.get.
roles/iam.serviceAccountUser Tutti gli utenti, se la VM ha un service account In Service account.
roles/compute.osLoginExternalUser Utenti di un'organizzazione diversa da quella della VM a cui si connettono

In Organizzazione.

Questo ruolo deve essere concesso da un amministratore dell'organizzazione.

Attiva OS Login

Puoi attivare OS Login o OS Login con autenticazione a due fattori per una singola VM o per tutte le VM di un progetto impostando i metadati di OS Login.

Quando imposti i metadati di OS Login, Compute Engine elimina i file authorized_keys della VM e non accetta più connessioni da chiavi SSH archiviate nei metadati del progetto o dell'istanza.

Attiva OS Login per tutte le VM di un progetto

Per attivare OS Login per tutte le VM di un progetto, imposta i seguenti valori nei metadati del progetto:

  1. Attiva OS Login:
    • Chiave: enable-oslogin
    • Valore: TRUE
  2. (Facoltativo) Attiva l'autenticazione a due fattori:
    • Chiave: enable-oslogin-2fa
    • Valore: TRUE

Attiva OS Login per una singola VM

Per attivare OS Login per una singola VM, imposta i seguenti valori nei metadati dell'istanza:

  1. Attiva OS Login:
    • Chiave: enable-oslogin
    • Valore: TRUE
  2. (Facoltativo) Attiva l'autenticazione a due fattori:
    • Chiave: enable-oslogin-2fa
    • Valore: TRUE

Attiva OS Login durante la creazione della VM

Attiva OS Login (opzionalmente con la verifica in due passaggi) durante la creazione di una VM utilizzando la console Google Cloud o gcloud CLI.

Console

Crea una VM che attivi OS Login e (facoltativamente) l'autenticazione a due fattori (2FA) di OS Login all'avvio creando una VM da un'immagine pubblica e specificando le seguenti configurazioni:

  1. Espandi la sezione Opzioni avanzate.
  2. Espandi la sezione Sicurezza.
  3. Espandi la sezione Gestisci accesso.
  4. Seleziona Controllo dell'accesso alle VM tramite autorizzazioni IAM.
  5. (Facoltativo) Se vuoi attivare la verifica in due passaggi (2FA) di OS Login, seleziona Richiedi la verifica in due passaggi.
  6. Fai clic su Crea per creare e avviare la VM.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Crea una VM che attivi OS Login e (facoltativamente) l'autenticazione a due fattori (2FA) di OS Login all'avvio eseguendo uno dei seguenti comandi gcloud compute instance create:

    • Per attivare solo OS Login, esegui il seguente comando:

      gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE

    • Per attivare l'autenticazione a due fattori (2FA) di OS Login, esegui il seguente comando:

      gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE

    Sostituisci quanto segue:

    • VM_NAME: il nome della nuova VM.
    • IMAGE_FAMILY: la famiglia di immagini di un sistema operativo Linux. In questo modo, la VM viene creata dall'immagine sistema operativo più recente e non deprecata. Per tutte le famiglie di immagini pubbliche, consulta Dettagli del sistema operativo.
    • IMAGE_PROJECT: il progetto di immagini che contiene la famiglia di immagini. Ogni sistema operativo ha il proprio progetto di immagini. Per tutti i progetti di immagini pubbliche, consulta Dettagli del sistema operativo.

Terraform

Puoi applicare i valori dei metadati ai tuoi progetti o alle tue VM utilizzando una delle seguenti opzioni:

  • Opzione 1: imposta enable-oslogin nei metadati a livello di progetto, in modo che sia applicato a tutte le VM del progetto.

    Utilizza la risorsa Terraform google_compute_project_metadata e imposta un valore dei metadati in cui oslogin=TRUE:

    resource "google_compute_project_metadata" "default" {
  metadata = {
    enable-oslogin = "TRUE"
  }
}

    In alternativa, puoi impostare enable-oslogin su FALSE per disattivare OS Login.

  • Opzione 2: imposta enable-oslogin nei metadati di una VM nuova o esistente.

    Utilizza la risorsa Terraform google_compute_instance e imposta oslogin=TRUE. Sostituisci oslogin_instance_name con il nome della tua VM.

    resource "google_compute_instance" "oslogin_instance" {
  name         = "oslogin-instance-name"
  machine_type = "f1-micro"
  zone         = "us-central1-c"
  metadata = {
    enable-oslogin : "TRUE"
  }
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }
  network_interface {
    # A default network is created for all GCP projects
    network = "default"
    access_config {
    }
  }
}

    In alternativa, puoi impostare enable-oslogin su FALSE per escludere la VM dall'utilizzo di OS Login.

Connettiti alle VM in cui è abilitato OS Login

Connettiti alle VM in cui è attivato OS Login utilizzando i metodi descritti in Connettiti alle VM Linux.

Quando ti connetti alle VM in cui è attivato OS Login, Compute Engine utilizza il nome utente configurato per te dall'amministratore dell'organizzazione. Se l'amministratore della tua organizzazione non ha configurato un nome utente per te, Compute Engine genera un nome utente nel formato USERNAME_DOMAIN_SUFFIX. Per ulteriori informazioni sui nomi utente, consulta Come funziona OS Login.

Quando ti connetti alle VM in cui è attivata l'autenticazione a due fattori (2FA) di OS Login, viene visualizzato anche un messaggio basato sul metodo di verifica in due passaggi o sul tipo di verifica selezionato. Per il metodo di richiesta sullo smartphone, accetta le richieste sullo smartphone o sul tablet per continuare. Per gli altri metodi, inserisci il codice di sicurezza o la password monouso.

Risolvi i problemi relativi a OS Login

Per trovare metodi per diagnosticare e risolvere gli errori di OS Login, consulta Risoluzione dei problemi relativi a OS Login.

Passaggi successivi