In Compute Engine, puoi utilizzare OS Login per concedere agli utenti l'accesso alle VM e limitare gli utenti con accesso sudo
. Se vuoi controllare quali utenti possono visualizzare o eseguire file ed eseguibili specifici nelle VM, puoi utilizzare i criteri del sistema operativo per implementare criteri che automatizzano e centralizzano la gestione dei file all'interno del tuo parco di VM.
Questo tutorial mostra come concedere l'accesso in visualizzazione al file auth.log
(/var/log/auth.log
) su più VM a un gruppo di utenti che non dispongono dell'accesso sudo
utilizzando i gruppi di accesso al sistema operativo e le relative policy.
Nella maggior parte delle configurazioni predefinite, le autorizzazioni dei file auth.log
sono impostate su 640
e il file è di proprietà del gruppo adm
. Un utente a cui non è stato concesso il ruolo IAM roles/compute.osAdminLogin
non fa parte del gruppo adm
, non ha accesso sudo
e, di conseguenza, non ha accesso in lettura al file.
Sebbene questo tutorial si concentri sulla gestione delle autorizzazioni utente per un file specifico, il flusso di lavoro può essere modificato e utilizzato per impostare le autorizzazioni su altri file o file eseguibili su una VM.
Obiettivi
In questo tutorial imparerai quanto segue:
- Come creare un gruppo Linux per l'accesso al sistema operativo
- Come utilizzare un'assegnazione dei criteri del sistema operativo per modificare le autorizzazioni di gruppo di un file in più VM contemporaneamente
Costi
In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi in base all'utilizzo previsto,
utilizza il Calcolatore prezzi.
Al termine delle attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la sezione Pulizia.
I nuovi Google Cloud utenti potrebbero avere diritto a una prova gratuita.Prima di iniziare
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Installa o esegui l'aggiornamento alla versione più recente di Google Cloud CLI.
- Assicurati di essere un amministratore di gruppi Cloud Identity per la tua organizzazione. Se non sei un amministratore di Gruppi, chiedi all'amministratore di Gruppi della tua organizzazione di creare un gruppo di accesso al sistema operativo Linux per te.
- Attiva VM Manager.
Prepara l'ambiente
Prima di poter concedere l'accesso al file auth.log
, devi creare alcune VM.
Crea tre VM utilizzando il
comando gcloud compute instances bulk create
:
gcloud compute instances bulk create \ --name-pattern=tutorial-# \ --zone=us-west1-a \ --count=3 \ --labels=vm=tutorial \ --metadata=enable-oslogin=TRUE
Viene visualizzato un messaggio simile al seguente:
`Bulk create request finished with status message: [VM instances created: 3, failed: 0.]`
Impostare le autorizzazioni di gruppo per il file auth.log
Per concedere a un utente l'accesso in lettura al file auth.log
senza concedergli il ruolo IAM roles/compute.osAdminLogin
, modifica il gruppo proprietario del file in un gruppo Linux di cui l'utente è membro.
Crea un gruppo OS Login Linux
Puoi creare un gruppo Linux OS Login per aggiungere un gruppo Linux supplementare visualizzato su ogni VM su cui è attivato OS Login. Creando un gruppo Linux di accesso al sistema operativo anziché un gruppo Linux supplementare locale, puoi controllare il gruppo Linux su tutte le VM in modo unificato.
Per creare un gruppo di accesso al sistema operativo Linux, utilizza il
comando gcloud beta identity groups create
:
gcloud beta identity groups create logaccess@ORGANIZATION_DOMAIN \ --organization=ORGANIZATION_DOMAIN \ --posix-group=gid=12345,name=logaccess
Sostituisci ORGANIZATION_DOMAIN
con il dominio
(example.com
) associato alla tua organizzazione.
Crea un'assegnazione delle policy del sistema operativo
Puoi utilizzare
criteri del sistema operativo
per automatizzare e centralizzare la configurazione delle VM. Puoi
applicare i criteri del sistema operativo alle VM utilizzando le assegnazioni delle policy del sistema operativo. Creando un'assegnazione di criteri del sistema operativo con un criterio del sistema operativo che modifica il gruppo predefinito del file auth.log
, puoi modificare il gruppo predefinito del file auth.log
in più VM contemporaneamente, anziché applicare la modifica a una VM alla volta.
Per creare un'assegnazione dei criteri del sistema operativo:
Apri un terminale sulla tua workstation.
Crea un file
.yaml
di assegnazione delle norme del sistema operativo eseguendo il seguente comando:touch tutorial-os-policy-assignment.yaml
Apri il file
tutorial-os-policy-assignment.yaml
in un editor di testo e aggiungi le seguenti specifiche:
Applica l'assegnazione del criterio del sistema operativo alle VM
Per applicare l'assegnazione del criterio del sistema operativo alle VM, segui questi passaggi:
Applica il criterio del sistema operativo utilizzando il comando
gcloud compute os-config os-policy-assignments create
:gcloud compute os-config os-policy-assignments create log-access-assignment \ --location=us-west1-a \ --file=log-access-os-policy-assignment.yaml \ --async
L'assegnazione delle policy del sistema operativo viene implementata nelle VM in base alle specifiche di implementazione riportate nel file
tutorial-os-policy-assignment.yaml
.Verifica che l'assegnazione delle norme del sistema operativo sia stata eseguita correttamente nelle VM e che il gruppo predefinito sia stato aggiornato correttamente utilizzando il comando
gcloud compute os-config os-policy-assignment-reports list
:gcloud compute os-config os-policy-assignment-reports list --location=us-west1-a
Aggiungere utenti al gruppo OS Login Linux
Quando aggiungi un utente a un gruppo Linux OS Login, l'utente eredita le autorizzazioni del gruppo in tutte le VM in cui è attivato OS Login.
Per questo tutorial, qualsiasi utente aggiunto al gruppo logaccess
può visualizzare il
auth.log
file senza il ruolo IAM roles/compute.osAdminLogin
.
Consulta la documentazione della guida di Cloud Identity per scoprire come
aggiungere un utente al gruppo logaccess
.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Elimina il progetto
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Elimina singole risorse
Elimina le VM che hai creato utilizzando il
comando gcloud compute instances delete
:
gcloud compute instances delete tutorial-1 tutorial-2 tutorial-3 \ --zone=us-west1-a
Passaggi successivi
- Scopri di più su OS Login
- Scopri di più su VM Manager
- Esplora architetture di riferimento, diagrammi e best practice su Google Cloud. Consulta il nostro Cloud Architecture Center.