Questo documento descrive come utilizzare i token di sicurezza fisici registrati nel tuo Account Google per connetterti alle istanze di macchine virtuali (VM) che utilizzano OS Login.
I token di sicurezza fisici vengono utilizzati per generare file di chiavi SSH private per la connessione alle VM. Quando utilizzi lo strumento SSH nel browser della console Google Cloud o Google Cloud CLI per connetterti alle VM utilizzando i token di sicurezza, OS Login recupera il file della chiave SSH privata associato al token di sicurezza e configura automaticamente il file della chiave SSH. Se utilizzi strumenti di terze parti per la connessione, devi utilizzare l'API OS Login per recuperare le informazioni sulla chiave SSH e configurare autonomamente il file della chiave SSH.
Prima di iniziare
- Aggiungi un token di sicurezza al tuo Account Google.
- Configura OS Login.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è il processo mediante il quale viene verificata l'identità per l'accesso ai servizi e alle API Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti in Compute Engine nel seguente modo.
Seleziona la scheda relativa a come prevedi di utilizzare gli esempi in questa pagina:
Console
Quando utilizzi la console Google Cloud per accedere ai servizi e alle API di Google Cloud, non devi configurare l'autenticazione.
gcloud
-
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
- Imposta una regione e una zona predefinite.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, devi utilizzare le credenziali che fornisci a gcloud CLI.
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
-
Limitazioni
- Le VM in cui sono abilitati token di sicurezza accettano solo connessioni da token SSH collegati ai token di sicurezza fisici registrati nel tuo Account Google.
Sia la VM a cui ti stai connettendo sia la workstation da cui ti connetti devono utilizzare una versione di OpenSSH 8.2 o successiva che supporti i tipi di token di sicurezza SSH. I seguenti sistemi operativi VM di Compute Engine supportano i token di sicurezza:
- Debian 11 (o versioni successive)
- SUSE Linux Enterprise Server (SLES) 15 (o versioni successive)
- Ubuntu 20.04 LTS (o versioni successive)
- Container-Optimized OS 93 LTS (o versioni successive)
- Rocky Linux 9 (o versioni successive)
Per verificare se il tuo ambiente supporta i token di sicurezza, esegui questo comando:
ssh -Q key | grep ^sk-
Se il comando non restituisce alcun output, il tuo ambiente non supporta i token di sicurezza.
Attivare i token di sicurezza con OS Login
Puoi abilitare l'utilizzo dei token di sicurezza per tutte le VM che utilizzano OS Login nel tuo progetto o per singole VM.
Abilita i token di sicurezza per tutte le VM abilitate a OS Login in un progetto
Per abilitare i token di sicurezza in tutte le VM che utilizzano OS Login nel tuo progetto, utilizza la console Google Cloud o gcloud CLI.
Console
Per abilitare i token di sicurezza per tutte le VM abilitate a OS Login, utilizza la console Google Cloud per impostare enable-oslogin
e enable-oslogin-sk
su TRUE
nei metadati del progetto:
Vai alla pagina Metadati.
Fai clic su Modifica.
Fai clic su Aggiungi elemento.
- Nel campo Chiave, inserisci
enable-oslogin
. - Nel campo Valore, inserisci
TRUE
.
- Nel campo Chiave, inserisci
Fai clic su Aggiungi elemento.
- Nel campo Chiave, inserisci
enable-oslogin-sk
. - Nel campo Valore, inserisci
TRUE
.
- Nel campo Chiave, inserisci
Fai clic su Salva.
gcloud
Per abilitare i token di sicurezza per tutte le VM abilitate a OS Login, utilizza il comando gcloud compute project-info add-metadata
per impostare enable-oslogin=TRUE
e enable-oslogin-sk=TRUE
nei metadati del progetto:
gcloud compute project-info add-metadata \ --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE
Abilita i token di sicurezza su una singola VM abilitata per OS Login
Per abilitare i token di sicurezza su una VM che utilizza OS Login, utilizza la console Google Cloud o gcloud CLI.
Console
Per abilitare i token di sicurezza su una singola VM, utilizza la console Google Cloud per impostare enable-oslogin
e enable-oslogin-sk
su TRUE
nei metadati dell'istanza:
Vai alla pagina Istanze VM.
Fai clic sul nome della VM per cui vuoi abilitare i token di sicurezza.
Fai clic su Modifica.
Nella sezione Metadati, fai clic su Aggiungi elemento.
- Nel campo Chiave, inserisci
enable-oslogin
. - Nel campo Valore, inserisci
TRUE
.
- Nel campo Chiave, inserisci
Fai clic su Aggiungi elemento.
- Nel campo Chiave, inserisci
enable-oslogin-sk
. - Nel campo Valore, inserisci
TRUE
.
- Nel campo Chiave, inserisci
Fai clic su Salva.
gcloud
Per abilitare i token di sicurezza su una singola VM, utilizza il comando gcloud compute instances add-metadata
per impostare enable-oslogin=TRUE
e enable-oslogin-sk=TRUE
nei metadati dell'istanza:
gcloud compute instances add-metadata VM_NAME \ --metadata enable-oslogin=TRUE,enable-oslogin-sk=TRUE
Sostituisci VM_NAME
con il nome della tua VM.
Connettiti a una VM usando un token di sicurezza
Puoi connetterti a una VM che utilizza token di sicurezza utilizzando la console Google Cloud, gcloud CLI o strumenti di terze parti. Se ti connetti alle VM utilizzando la console Google Cloud o gcloud CLI, Compute Engine configura la chiave SSH per te. Se ti connetti alle VM usando strumenti di terze parti, devi eseguire personalmente la configurazione.
Console
Quando ti connetti alle VM utilizzando lo strumento SSH nel browser della console Google Cloud, SSH nel browser recupera le chiavi private associate ai tuoi token di sicurezza.
Per connetterti a una VM in cui sono abilitati i token di sicurezza:
Nella console Google Cloud, vai alla pagina Istanze VM.
Nell'elenco delle VM, fai clic su SSH nella riga della VM a cui vuoi connetterti.
Quando richiesto, tocca il token di sicurezza.
gcloud
Quando ti connetti alle VM con gcloud CLI, quest'ultimo recupera le chiavi private associate ai tuoi token di sicurezza e configura i file delle chiavi private. Questa configurazione è persistente e si applica a tutte le VM che utilizzano token di sicurezza.
Utilizza il comando gcloud beta compute ssh
per connetterti a una VM in cui sono abilitati i token di sicurezza:
gcloud beta compute ssh VM_NAME
Strumenti di terze parti
Prima di connetterti a una VM in cui sono abilitati i token di sicurezza, devi recuperare le chiavi private associate ai tuoi token di sicurezza e configurare i file delle chiavi private. Questo esempio utilizza la libreria client Python per eseguire la configurazione.
Devi eseguire questa configurazione solo la prima volta che ti connetti a una VM. La configurazione è permanente e si applica a tutte le VM che utilizzano token di sicurezza nel tuo progetto.
Da un terminale sulla workstation, segui questi passaggi:
Installa la libreria client di Google per Python, se non l'hai già fatto, eseguendo questo comando:
pip3 install google-api-python-client
Salva il seguente script Python di esempio, che recupera le chiavi private associate ai tuoi token di sicurezza, configura i file delle chiavi private e si connette alla VM.
Esegui lo script per configurare le chiavi e, facoltativamente, connettiti alla VM.
python3 SCRIPT_NAME.py --user_key=USER_KEY --ip_address=IP_ADDRESS [--dryrun]
Sostituisci quanto segue:
SCRIPT_NAME
: il nome dello script di configurazione.USER_KEY
: il tuo indirizzo email principale.IP_ADDRESS
: l'indirizzo IP esterno della VM a cui ti stai connettendo.[--dryrun]
: (facoltativo) aggiungi il flag--dryrun
per stampare il comando di connessione senza connetterti alla VM. Se non specifichi questo flag, lo script esegue il comando di connessione.
Che cosa succede dopo?
- Scopri come configurare OS Login con la verifica in due passaggi.
- Scopri come gestire OS Login in un'organizzazione.