设置 OS Login

OS Login 可让您使用 Compute Engine IAM 角色来管理对 Linux 实例的 SSH 访问权限；这种替代功能让您无需总是通过在元数据中添加和移除 SSH 密钥来手动管理实例访问权限。

本主题介绍设置 OS Login 的基本步骤。设置 OS Login 时，您可以使用双重身份验证来增加一层安全性。如需了解详情，请参阅使用双重身份验证设置 OS Login。

要配置 OS Login 并连接到您的实例，请使用以下过程：

在您的项目或单个实例上启用 OS Login 功能。
向您自己、项目成员或组织成员授予必要的 IAM 角色。
（可选）完成以下任何步骤：
- 或者，针对您自己、项目成员或组织成员向用户帐号添加自定义 SSH 密钥。另外，当您连接到实例时，Compute Engine 会自动为您生成这些密钥。
- 如果您的项目属于组织，请查看管理组织中的 OS Login。
连接实例。
查看预期的登录行为。

准备工作

如果您要使用本指南中的命令行示例，请执行以下操作：
1. 安装或更新到 gcloud 命令行工具的最新版本。
2. 设置默认区域和地区。
如果您要使用本指南中的 API 示例，请设置 API 访问权限。

限制

Google Kubernetes Engine (GKE) 目前不支持 OS Login。启用 OS Login 后，GKE 集群节点将继续使用元数据 SSH 密钥。
Windows Server 和 SQL Server 映像系列尚不支持 OS Login。

启用或停用 OS Login

您必须先通过在项目或实例的元数据中设置元数据键/值对 (enable-oslogin=TRUE) 来启用 OS Login 功能，然后才能使用 IAM 角色管理实例访问权限。要停用 OS Login，请将元数据值设置为 FALSE。例如，您可以在项目级层上使用 enable-oslogin=TRUE 在整个项目中启用该功能，但在尚且无法使用它的特定实例上设置 enable-oslogin=FALSE。

您可以使用以下选项之一在项目或实例上应用 enable-oslogin 元数据值：

控制台

在项目级元数据中设置 enable-oslogin，使其应用于项目中的所有实例：

在 Google Cloud Console 中，转到元数据页面。
转到“元数据”页面
点击修改。
添加一个键为 enable-oslogin 且值为 TRUE 的元数据条目。或者，将值设置为 FALSE 以停用该功能。
点击保存以应用更改。

对于未运行 CoreOS 的虚拟机，此更改将立即生效；您无需重启实例。对于 CoreOS 分发，请重新引导或重启实例，以使更改生效。要重启，请先在实例上执行停止，然后执行启动操作。

在现有实例的元数据中设置 enable-oslogin：

在 Google Cloud Console 中，转到虚拟机实例页面。
转到“虚拟机实例”页面
点击要为其设置元数据值的实例的名称。
在实例详情页面的顶部，点击修改以修改实例设置。
在自定义元数据下方，添加一个元数据条目，其中键为 enable-oslogin，值为 TRUE。或者，将值设置为 FALSE 以在实例上停用该功能。
在实例详情页面的底部，点击保存以将更改应用于实例。

对于除 CoreOS 之外的所有操作系统，此更改将立即生效；您无需重启实例。对于 CoreOS 分发，请重新引导或重启实例，以使更改生效。要重启，请先在实例上执行停止，然后执行启动操作。

创建实例时，请在实例元数据中设置 enable-oslogin：

在 GCP Console 中，转到虚拟机实例页面。
转到“虚拟机实例”页面
点击创建实例。
在创建新实例页面上，填写实例的属性。

在元数据部分，添加一个元数据条目，其中键为 enable-oslogin，值为 TRUE。或者，将该值设置为 FALSE 以对实例停用该功能。
点击创建以创建实例。

gcloud

在项目级元数据中设置 enable-oslogin，使其应用于项目中的所有实例：

在 gcloud 命令行工具中使用 project-info add-metadata 命令，并设置 oslogin=TRUE 以启用 OS Login：

gcloud compute project-info add-metadata \
    --metadata enable-oslogin=TRUE

或者，您可以将 enable-oslogin 设置为 FALSE 以停用 OS Login。

对于未运行 CoreOS 的虚拟机，此更改将立即生效；您无需重启实例。对于 CoreOS 分发，请重新引导或重启实例，以使更改生效。

在现有实例的元数据中设置 enable-oslogin：

在 gcloud 命令行工具中使用 instances add-metadata 命令，并设置 oslogin=TRUE 以启用 OS Login。将 instance-name 替换为您的实例名称。

gcloud compute instances add-metadata instance-name \
    --metadata enable-oslogin=TRUE

或者，您可以将 enable-oslogin 设置为 FALSE 以使实例停用 OS Login。

对于除 CoreOS 之外的所有操作系统，此更改将立即生效；您无需重启实例。对于 CoreOS 分发，请重新引导或重启实例，以使更改生效。

创建实例时，请在实例元数据中设置 enable-oslogin：

在 gcloud 命令行工具中使用 instances create 命令，并设置 oslogin=TRUE 以启用 OS Login。将 instance-name 替换为您的实例名称。

gcloud compute instances create instance-name \
    --metadata enable-oslogin=TRUE

或者，您可以将 enable-oslogin 设置为 FALSE 以使实例停用 OS Login。

除了必要的元数据值之外，您的实例还必须安装最新版本的访客环境。如果您有运行已导入自定义映像的实例，请在这些实例上安装访客环境以启用 OS Login。

在项目中的实例上启用 OS Login 后，请向用户授予连接这些实例的权限。

为用户帐号配置 OS Login 角色

为 OS Login 授予 IAM 角色

在项目中的一个或多个实例上启用 OS Login 后，这些实例将只接受来自在项目或组织中拥有必要 IAM 角色的用户帐号的连接。

例如，您可以通过以下过程向用户授予实例访问权限：

将必要的实例访问权限角色授予用户。
- 以下某个登录角色：
  - roles/compute.osLogin，该角色不授予管理员权限
  - roles/compute.osAdminLogin，该角色可授予管理员权限
    
    您可以使用 gcloud beta compute instances add-iam-policy-binding 命令在实例级别授予 roles/compute.osLogin 或 roles/compute.osAdminLogin 角色。
- 如果您的虚拟机实例使用的是服务帐号，您需要与虚拟机实例关联的服务帐号的 roles/iam.serviceAccountUser 角色。
如果您是组织管理员，并希望组织外部的成员能够访问您的实例，请在组织级别向用户授予 roles/compute.osLoginExternalUser。

除非您直接向用户提供有关您实例的详细信息或这些实例的外部 IP 地址，否则他们无法查看这些详细信息。您需要向用户授予额外的 IAM 角色，这样他们才能查看实例的详细信息。例如，向用户授予 roles/compute.viewer 角色即可让他们查看项目中的所有资源，包括实例详细信息。

向服务帐号授予 SSH 访问权限

您可以使用 OS Login 角色来允许服务帐号建立与实例的 SSH 连接。这对于以下任务非常有用：

如果您的应用需要 Compute Engine 实例的 SSH 访问权限，您可以通过服务帐号提供该访问权限。如需了解详情，请参阅使用 SSH 将应用连接到实例。
如需了解如何承担服务帐号的权限，并使用它们在实例之间手动建立链式 SSH 连接，请参阅以服务帐号的身份在实例之间手动建立连接。

您可以通过以下过程向您的服务帐号授予 SSH 访问权限：

创建服务帐号。
向您的服务帐号授予必要的 OS Login 角色。服务帐号需要使用与用户帐号相同的角色。如需了解如何为服务帐号配置角色和权限，请参阅向服务帐号授予角色。
向您的服务帐号提供应用默认凭据，以便它可以为向必要 API 发出的请求授权。可使用以下选项之一提供应用默认凭据：
- 创建与您的服务帐号关联的实例。该实例会为您的服务帐号提供应用默认凭据。
- 如果您在 Compute Engine 环境之外运行应用，请手动为应用提供服务帐号凭据。

向您的服务帐号授予 SSH 访问权限之后，可以对应用进行配置以创建 SSH 密钥，并建立与 VPC 网络上其他实例的 SSH 连接。如需了解服务帐号 SSH 的示例应用，请参阅使用 SSH 将应用连接到实例教程。

撤消 OS Login IAM 角色

要撤消用户对可以使用操作系统登录的实例的访问权限，请从该用户帐号中移除用户角色。如需了解如何移除用户的 IAM 角色，请参阅授予、更改和撤消对资源的访问权限。

撤消某用户的访问权限后，该用户仍然拥有与其帐号关联的公共 SSH 密钥，但这些密钥不再会对虚拟机实例起作用。

连接实例

当您配置必要的角色后，请使用 Compute Engine 工具连接实例。Compute Engine 会自动生成 SSH 密钥并将其与您的用户帐号关联。

或者，如果您创建自己的 SSH 密钥并将公钥添加到您的用户帐号，则可以使用第三方工具连接到实例。该实例从您的用户帐号获取您的公钥，还可让您在提供正确的用户名和匹配的 SSH 私钥后连接到该实例。

连接到实例后，请查看预期的登录行为。

预期的登录行为

在某些使用 OS Login 的实例上，您可能会在建立连线后收到以下错误消息：
```
/usr/bin/id: cannot find name for group ID 123456789
```
忽略此错误消息。此错误不会影响您的实例。
如果 G Suite 管理员未设置用户名，则 OS Login 会通过组合用户的 Google 个人资料所关联电子邮件中的用户名和域来生成默认的 Linux 用户名。此命名惯例可确保唯一性。例如，如果与 Google 个人资料关联的用户电子邮件地址是 user@example.com，则其生成的用户名为 user_example_com。

系统在生成此用户名时会以与 G Suite 帐号关联的网域为依据。如果用户来自另一个 G Suite 组织，则生成的用户名带有“ext_”前缀。例如，如果 user@example.com 正在访问其他组织中的虚拟机，则其生成的用户名为 ext_user_example_com。
使用 gcloud compute ssh 命令登录实例时，对于属于 example.com 域的用户 user，登录消息的格式如下：
```
Using OS Login user user_example_com instead of default user user
```
此消息确认用户是使用 OS Login 个人资料登录的。

将 SSH 密钥添加到用户帐号

您可以将 SSH 公钥与以下用户帐号类型相关联：

属于组织资源的托管用户帐号：
- G Suite
- Cloud Identity
消费者 Google 帐号，例如 gmail.com 帐号

您可以使用 gcloud 命令行工具或 OS Login API 将 SSH 密钥添加到自己的帐号中。或者，如果您是组织的网域管理员，则可以使用 Directory API 将 SSH 密钥添加到组织中的用户帐号。

gcloud

gcloud compute os-login 命令仅适用于 Cloud SDK 版本 184 及更高版本。

使用 gcloud 命令行工具将 SSH 公钥与帐号相关联。

gcloud compute os-login ssh-keys add \
    --key-file key-file-path \
    --ttl expire-time

替换以下内容：

key-file-path：指向本地工作站上 SSH 公钥的路径。确保 SSH 公钥格式正确。如果您在 Linux 系统上使用 PuTTYgen 来生成公钥，则必须使用 public-openssh 格式。
expire-time：一个可选标志，用于设置 SSH 公钥的到期时间。例如，您可以指定 30m，则 SSH 密钥将在 30 分钟后过期。此标志使用下列单位：
- s 表示秒数
- m 表示分钟数
- h 表示小时数
- d 表示天数。将值设为 0 以指示没有到期时间。

OS Login API

使用 OS Login API 以将 SSH 公钥与帐号相关联：

POST https://oslogin.googleapis.com/v1/users/account-email:importSshPublicKey

{
 "key": "ssh-key",
 "expirationTimeUsec": "expiration-timestamp"
}

替换以下内容：

account-email：表示您的托管用户帐号的电子邮件地址。
ssh-key：您想要应用于帐号的公钥。确保 SSH 公钥格式正确。如果您在 Linux 系统上使用 PuTTYgen 来生成公钥，则必须使用 public-openssh 格式。
expiration-timestamp：密钥的到期时间（以微秒为单位，从新纪元开始算）。

Directory API

如果您是组织的网域管理员，则可以使用 Directory API 参考将 SSH 密钥添加到组织中其他用户的帐号。例如，使用一个或多个 SSH sshPublicKeys 条目创建对 directory.users.update 方法发出的 PUT 请求：

PUT https://www.googleapis.com/admin/directory/v1/users/user-id-key

{
 "sshPublicKeys": [
  {
   "key": "ssh-key",
   "expirationTimeUsec": "expiration-timestamp"
  },
  {
   "key": "ssh-key",
   "expirationTimeUsec": "expiration-timestamp"
  }
 ]
}

替换以下内容：

user-id-key：用户的不可变 ID。
ssh-key：您要应用于帐号的公钥。确保 SSH 公钥格式正确。如果您在 Linux 系统上使用 PuTTYgen 来生成公钥，则必须使用 public-openssh 格式。
expiration-timestamp：密钥的到期时间（以微秒为单位，从新纪元开始算）。

要移除帐号中的所有密钥，请在正文中指定 "sshPublicKeys": null，并将 user-id-key 替换为用户的不可变 ID：

PUT https://www.googleapis.com/admin/directory/v1/users/user-id-key

{
  "sshPublicKeys": null
}

将密钥添加到帐号后，您可以使用第三方工具以及与帐号关联的用户名连接实例。请注意，您的组织管理员可以更改此用户名。您可以通过运行 gcloud compute os-login describe-profile 命令找到帐号的用户名：

gcloud compute os-login describe-profile

name: account-email
posixAccounts:
⋮
  username: user-name
⋮

替换以下内容：

account-email：表示您的托管用户帐号的电子邮件地址。
user-name：用于建立 SSH 连接的用户名。默认情况下，此用户名是根据您的 account-email 生成的。

后续步骤

连接实例。
详细了解 Compute Engine 访问控制。
了解服务帐号。
如需了解服务帐号 SSH 的示例应用，请参阅使用 SSH 将应用连接到实例教程。
了解 Google Cloud 项目访问权限。