Login do SO

Nesta página, descrevemos o serviço Login do SO e como ele funciona. Para informações sobre como configurar o Login do SO ou instruções passo a passo, consulte Como configurar o Login do SO ou Como configurar o Login do SO com a verificação em duas etapas.

Use o Login do SO para gerenciar o acesso SSH às instâncias usando o IAM sem ter que criar e gerenciar chaves SSH individuais. O login do SO mantém uma identidade de usuário consistente do Linux nas instâncias de VM e é o método recomendado para gerenciar muitos usuários em várias instâncias ou projetos.

Benefícios do login do SO

O login do SO simplifica o gerenciamento do acesso SSH porque vincula sua conta de usuário do Linux à sua identidade do Google. Os administradores podem gerenciar facilmente o acesso a instâncias no nível da instância ou do projeto, definindo permissões do IAM.

O login do SO oferece os seguintes benefícios:

  • Gerenciamento automático do ciclo de vida da conta do Linux: vincule diretamente uma conta de usuário do Linux à identidade de um usuário do Google para que as mesmas informações sejam usadas em todas as instâncias no mesmo projeto ou organização.

  • Autorização detalhada usando o Google IAM: os administradores no nível do projeto e da instância podem usar o IAM para conceder acesso SSH à identidade do Google de um usuário sem conceder um conjunto mais amplo de privilégios. Por exemplo, é possível conceder a um usuário permissões para fazer login no sistema, mas não a capacidade de executar comandos como sudo. O Google verifica essas permissões para determinar se um usuário pode fazer login em uma instância de VM.

  • Atualizações automáticas de permissões: com o Login do SO, as permissões são atualizadas automaticamente quando um administrador altera as permissões do IAM. Por exemplo, ao remover as permissões do IAM de uma identidade do Google, o acesso às instâncias de VM será revogado. O Google verifica as permissões para cada tentativa de login para impedir acessos indesejados.

  • Capacidade de importar contas atuais do Linux: os administradores podem sincronizar informações da conta do Linux do Active Directory (AD) e do protocolo Lightweight Directory Access Protocol (LDAP) que são configurados no local. Por exemplo, é possível garantir que os usuários tenham o mesmo código do usuário (UID, sigla em inglês) nos ambientes local e em nuvem.

Como o login do SO funciona

As imagens públicas fornecidas pelo Google incluem utilitários e componentes para gerenciar o acesso à VM. Quando você ativa o login do SO, um script auxiliar ativa estes componentes e executa as seguintes configurações:

  • Configura um servidor OpenSSH com a opção AuthorizedKeysCommand. Esse comando recupera as chaves SSH associadas à conta de usuário do Linux para autenticar a tentativa de login.
  • Configura a funcionalidade de comutador de serviço de nomes (NSS, na sigla em inglês) para fornecer ao sistema operacional as informações de login do usuário.
  • Adiciona um conjunto de configurações de módulos de autenticação plugáveis (PAM) para autorizar o login do usuário. Estas configurações executam verificações de permissão do IAM para login e acesso administrativo. Elas também executam outras tarefas, como configurar o diretório pessoal da conta de usuário do Linux.

Para informações mais detalhadas sobre os componentes de login do SO, consulte a página Login do SO no GitHub.

A seguir