OS 登入

本頁說明 OS 登入服務及其運作原理。如要瞭解如何設定 OS 登入,請參閱使用 OS 登入管理執行個體存取權

使用 OS 登入可透過 IAM 管理執行個體的 SSH 存取權,而不用建立及管理個別的 SSH 金鑰。OS 登入可使 Linux 使用者身分在不同的 VM 執行個體中保持一致,因此建議您使用這個方式來管理多個執行個體或專案中的眾多使用者。

OS 登入的優點

OS 登入可將 Linux 使用者帳戶連結至您的 Google 身分,因而能簡化 SSH 存取權管理。管理員可在執行個體或專案層級,藉由設定 IAM 權限來輕鬆管理執行個體存取權。

OS 登入可提供以下優點:

  • 自動化 Linux 帳戶生命週期管理:您可以直接將 Linux 使用者帳戶繫結至使用者的 Google 身分,以便讓相同的 Linux 帳戶資訊可以在同一專案或機構的所有執行個體中使用。

  • 使用 Google Cloud IAM 進行精細的授權:專案和執行個體層級的管理員可使用 IAM 將 SSH 存取權授予使用者的 Google 身分,而不需要授予範圍更廣的權限集。舉例來說,您可以授予使用者登入系統、但不能執行 sudo 等指令的權限。Google 會檢查這些權限,以判斷使用者是否可登入 VM 執行個體。

  • 自動更新權限:透過 OS 登入,當管理員變更 Cloud IAM 權限時,系統會自動更新權限。比方說,如果您將某個 Google 身分的 IAM 權限移除,則 VM 執行個體的存取權也會隨之撤銷。每次有使用者嘗試登入時,Google 都會檢查權限,以防有人擅自存取。

  • 能夠匯入現有的 Linux 帳戶:管理員可以選擇從內部部署設定的 Active Directory (AD) 和輕量型目錄存取協定 (LDAP) 同步處理 Linux 帳戶資訊。例如,您可以確保使用者在您的 Cloud 和內部部署環境中都使用相同的使用者 ID (UID)。

OS 登入的運作原理

Google 提供的公開映像檔包括可用於管理 VM 存取權的公用程式和元件。當您啟用 OS 登入時,輔助指令碼會啟用這些元件,並執行下列設定:

  • 使用 AuthorizedKeysCommand 選項設定 OpenSSH 伺服器。這個指令會擷取與 Linux 使用者帳戶相關聯的安全殼層 (SSH) 金鑰組,以驗證使用者嘗試登入的活動。
  • 設定 NSS (Name Service Switch,名稱服務切換) 功能,以提供 OS 登入使用者資訊給作業系統。
  • 新增一組 PAM 設定以授權使用者登入。PAM 設定會執行 IAM 權限檢查,以驗證登入和管理存取權。這些 PAM 設定也會執行其他工作,例如設定 Linux 使用者帳戶的主目錄。

如要進一步瞭解 OS 登入元件,請參閱 OS 登入 GitHub 頁面

後續步驟

如需 OS 登入設定的逐步操作說明,請參閱使用 OS 登入管理執行個體存取權

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Compute Engine 說明文件