Login do SO

Nesta página, descrevemos o serviço Login do SO e como ele funciona. Para informações sobre como configurar o login do SO, consulte Como gerenciar o acesso à instância com o login do SO.

Use o login do SO para gerenciar o acesso SSH às instâncias usando o IAM sem ter que criar e gerenciar chaves SSH individuais. O login do SO mantém uma identidade de usuário consistente do Linux nas instâncias de VM e é o método recomendado para gerenciar muitos usuários em várias instâncias ou projetos.

Benefícios do login do SO

O login do SO simplifica o gerenciamento do acesso SSH porque vincula sua conta de usuário do Linux à sua identidade do Google. Os administradores podem gerenciar facilmente o acesso a instâncias no nível da instância ou do projeto, definindo permissões do IAM.

O login do SO oferece os seguintes benefícios:

  • Gerenciamento automático do ciclo de vida da conta do Linux: vincule diretamente uma conta de usuário do Linux à identidade de um usuário do Google para que as mesmas informações sejam usadas em todas as instâncias no mesmo projeto ou organização.

  • Autorização detalhada com o uso do Google Cloud IAM: os administradores de projeto e de instância podem usar o IAM para conceder acesso SSH à identidade de um usuário do Google sem um conjunto mais amplo de privilégios. Por exemplo, é possível conceder permissões a um usuário para fazer login no sistema, mas sem poder executar comandos como sudo. O Google verifica essas permissões para determinar se um usuário pode fazer login em uma instância de VM.

  • Atualizações automáticas de permissão: com o login do SO, as permissões são atualizadas automaticamente quando um administrador altera as permissões do Cloud IAM. Por exemplo, ao remover as permissões do IAM de uma identidade do Google, o acesso às instâncias de VM será revogado. O Google verifica as permissões para cada tentativa de login a fim de impedir acesso indesejado.

  • Capacidade de importar contas atuais do Linux: os administradores podem sincronizar informações da conta do Linux do Active Directory (AD) e do protocolo Lightweight Directory Access Protocol (LDAP) que são configurados no local. Por exemplo, é possível garantir que os usuários tenham o mesmo código do usuário (UID, sigla em inglês) nos ambientes local e em nuvem.

Como o login do SO funciona

As imagens públicas fornecidas pelo Google incluem utilitários e componentes para gerenciar o acesso à VM. Quando você habilita o login do SO, um script auxiliar ativa esses componentes e executa as seguintes configurações:

  • Configura um servidor OpenSSH com a opção AuthorizedKeysCommand. Esse comando recupera as chaves SSH associadas à conta de usuário do Linux para autenticar a tentativa de login.
  • Configura a funcionalidade de comutador de serviço de nomes (NSS, na sigla em inglês) para fornecer ao sistema operacional as informações de login do usuário.
  • Adiciona um conjunto de configurações do PAM para autorizar o login do usuário. Essas configurações executam verificações de permissão do IAM para login e acesso administrativo. Elas também executam outras tarefas, como configurar o diretório pessoal da conta de usuário do Linux.

Para informações mais detalhadas sobre os componentes de login do SO, consulte a página Login do SO no GitHub.

A seguir

Para instruções passo a passo de como configurar o login do SO, consulte Como gerenciar o acesso à instância com o login do SO.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine