Dokumen ini menjelaskan cara menggunakan kunci keamanan fisik yang terdaftar di akun Google Anda untuk terhubung ke instance virtual machine (VM) yang menggunakan Login OS.
Kunci keamanan fisik digunakan untuk menghasilkan file kunci SSH pribadi untuk terhubung ke VM. Saat Anda menggunakan alat SSH-in-browser konsol Google Cloud atau Google Cloud CLI untuk terhubung ke VM menggunakan kunci keamanan, Login OS akan mengambil file kunci SSH pribadi yang terkait dengan kunci keamanan Anda dan mengonfigurasi file kunci SSH untuk Anda. Saat menggunakan alat pihak ketiga untuk terhubung, Anda harus menggunakan Login OS API untuk mengambil informasi kunci SSH dan mengonfigurasi file kunci SSH sendiri.
Sebelum memulai
- Tambahkan kunci keamanan ke Akun Google Anda.
- Siapkan Login OS.
-
Jika Anda belum melakukannya, siapkan autentikasi.
Autentikasi adalah
proses verifikasi identitas Anda untuk mengakses layanan dan API Google Cloud.
Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat mengautentikasi ke Compute Engine dengan memilih salah satu opsi berikut:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- VM yang memiliki kunci keamanan hanya menerima koneksi dari kunci SSH yang terpasang ke kunci keamanan fisik yang terdaftar di Akun Google Anda.
- Anda tidak dapat menggunakan Cloud Shell untuk terhubung ke VM yang mengaktifkan kunci keamanan.
VM yang Anda hubungkan dan workstation tempat Anda terhubung harus menggunakan versi OpenSSH 8.2 atau yang lebih baru yang mendukung jenis SSH kunci keamanan. Sistem operasi VM Compute Engine berikut mendukung kunci keamanan:
- Debian 11 (atau yang lebih baru)
- SUSE Linux Enterprise Server (SLES) 15 (atau yang lebih baru)
- Ubuntu 20.04 LTS (atau yang lebih baru)
- Container-Optimized OS 93 LTS (atau yang lebih baru)
- Rocky Linux 9 (atau yang lebih baru)
Untuk memeriksa apakah lingkungan Anda mendukung kunci keamanan, jalankan perintah berikut:
ssh -Q key | grep ^sk-
Jika perintah tersebut tidak menampilkan output apa pun, berarti lingkungan Anda tidak mendukung kunci keamanan.
Klien SSH di workstation tempat Anda terhubung harus mendukung kunci keamanan dan menyertakan library yang diperlukan, seperti
libfido2
.Buka halaman Metadata.
Klik Edit.
Klik Tambahkan item.
- Pada kolom Kunci, masukkan
enable-oslogin
. - Di kolom Value, masukkan
TRUE
.
- Pada kolom Kunci, masukkan
Klik Tambahkan item.
- Pada kolom Kunci, masukkan
enable-oslogin-sk
. - Di kolom Value, masukkan
TRUE
.
- Pada kolom Kunci, masukkan
Klik Simpan.
Buka halaman instance VM.
Klik nama VM yang ingin Anda aktifkan kunci keamanannya.
Klik Edit.
Di bagian Metadata, klik Tambahkan item.
- Pada kolom Kunci, masukkan
enable-oslogin
. - Di kolom Value, masukkan
TRUE
.
- Pada kolom Kunci, masukkan
Klik Tambahkan item.
- Pada kolom Kunci, masukkan
enable-oslogin-sk
. - Di kolom Value, masukkan
TRUE
.
- Pada kolom Kunci, masukkan
Klik Simpan.
Di konsol Google Cloud, buka halaman Instance VM.
Dalam daftar VM, klik SSH di baris VM yang ingin Anda hubungkan.
Saat diminta, sentuh kunci keamanan Anda.
Jika Anda belum melakukannya, instal library klien Google untuk Python dengan menjalankan perintah berikut:
pip3 install google-api-python-client
Simpan contoh skrip Python berikut, yang mengambil kunci pribadi yang terkait dengan kunci keamanan Anda, mengonfigurasi file kunci pribadi, dan menghubungkan ke VM.
Jalankan skrip untuk mengonfigurasi kunci Anda dan secara opsional terhubung ke VM.
python3 SCRIPT_NAME.py --user_key=USER_KEY --ip_address=IP_ADDRESS [--dryrun]
Ganti kode berikut:
SCRIPT_NAME
: nama skrip konfigurasi Anda.USER_KEY
: Alamat email primer AndaIP_ADDRESS
: alamat IP eksternal VM yang Anda hubungkan.[--dryrun]
: (Opsional) tambahkan flag--dryrun
untuk mencetak perintah koneksi tanpa terhubung ke VM. Jika Anda tidak menentukan tanda ini, skrip akan menjalankan perintah koneksi.
- Pelajari cara menyiapkan Login OS dengan verifikasi 2 langkah.
- Pelajari cara mengelola Login OS di organisasi.
REST
Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Untuk informasi selengkapnya, lihat Melakukan autentikasi untuk menggunakan REST dalam dokumentasi autentikasi Google Cloud.
Batasan
Mengaktifkan kunci keamanan dengan Login OS
Anda dapat mengaktifkan penggunaan kunci keamanan untuk semua VM yang menggunakan Login OS di project Anda, atau untuk VM tunggal.
Mengaktifkan kunci keamanan untuk semua VM yang mengaktifkan Login OS dalam sebuah project
Untuk mengaktifkan kunci keamanan pada semua VM yang menggunakan Login OS di project Anda, gunakan konsol Google Cloud atau gcloud CLI.
Konsol
Guna mengaktifkan kunci keamanan untuk semua VM yang mendukung Login OS, gunakan konsol Google Cloud untuk menetapkan
enable-oslogin
danenable-oslogin-sk
keTRUE
dalam metadata project:gcloud
Guna mengaktifkan kunci keamanan untuk semua VM yang mendukung Login OS, gunakan perintah
gcloud compute project-info add-metadata
untuk menetapkanenable-oslogin=TRUE
danenable-oslogin-sk=TRUE
di metadata project:gcloud compute project-info add-metadata \ --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE
Mengaktifkan kunci keamanan di satu VM yang mengaktifkan Login OS
Untuk mengaktifkan kunci keamanan pada VM yang menggunakan Login OS, gunakan konsol Google Cloud atau gcloud CLI.
Konsol
Untuk mengaktifkan kunci keamanan pada satu VM, gunakan konsol Google Cloud untuk menetapkan
enable-oslogin
danenable-oslogin-sk
keTRUE
dalam metadata instance:gcloud
Untuk mengaktifkan kunci keamanan pada satu VM, gunakan perintah
gcloud compute instances add-metadata
untuk menetapkanenable-oslogin=TRUE
danenable-oslogin-sk=TRUE
di metadata instance:gcloud compute instances add-metadata VM_NAME \ --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE
Ganti
VM_NAME
dengan nama VM Anda.Terhubung ke VM menggunakan kunci keamanan
Anda dapat terhubung ke VM yang menggunakan kunci keamanan menggunakan konsol Google Cloud, gcloud CLI, atau alat pihak ketiga. Jika Anda terhubung ke VM menggunakan konsol Google Cloud atau gcloud CLI, Compute Engine akan mengonfigurasi kunci SSH untuk Anda. Jika terhubung ke VM menggunakan alat pihak ketiga, Anda harus melakukan konfigurasi sendiri.
Konsol
Saat Anda terhubung ke VM menggunakan alat SSH-in-browser konsol Google Cloud, SSH-in-browser akan mengambil kunci pribadi yang terkait dengan kunci keamanan Anda.
Untuk terhubung ke VM yang mengaktifkan kunci keamanan, lakukan hal berikut:
gcloud
Saat Anda terhubung ke VM menggunakan gcloud CLI, gcloud CLI akan mengambil kunci pribadi yang terkait dengan kunci keamanan Anda dan mengonfigurasi file kunci pribadi. Konfigurasi ini bersifat persisten dan berlaku untuk semua VM yang menggunakan kunci keamanan.
Gunakan perintah
gcloud beta compute ssh
untuk terhubung ke VM yang mengaktifkan kunci keamanan:gcloud beta compute ssh VM_NAME
Alat pihak ketiga
Sebelum terhubung ke VM yang mengaktifkan kunci keamanan, Anda harus mengambil kunci pribadi yang terkait dengan kunci keamanan Anda dan mengonfigurasi file kunci pribadi. Contoh ini menggunakan library klien Python untuk melakukan konfigurasi.
Anda hanya perlu melakukan konfigurasi ini saat pertama kali terhubung ke VM. Konfigurasi ini bersifat persisten dan berlaku untuk semua VM yang menggunakan kunci keamanan di project Anda.
Dari terminal di workstation Anda, lakukan tindakan berikut:
Apa langkah selanjutnya?
Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2024-12-22 UTC.
-