OS Login を設定する


このドキュメントでは、OS Login と 2 要素認証(2FA)を使用した OS Login を設定する方法について説明します。

OS Login を使用すると、IAM 権限に基づいて仮想マシン(VM)インスタンスへのアクセスを制御できます。2 要素認証の有無にかかわらず OS Login を使用できますが、2 要素認証を使用するには OS Login が必要になります。OS Login と OS Login の 2 要素認証の詳細と、OS Login でサポートされている本人確認方法についての詳細は、OS Login についてをご覧ください。

始める前に

制限事項

次の VM で OS Login はサポートされていません。
  • Windows Server と SQL Server VM
  • Fedora CoreOS VM。このイメージを使用して作成された VM へのインスタンス アクセスを管理するには、Fedora CoreOS Ignition システムを使用します。

OS Login の IAM ロールを割り当てる

OS Login が有効になっている VM に接続するユーザーに必要な IAM ロールをすべて割り当てます。

ロール 必要なユーザー 付与レベル
roles/compute.osLogin または roles/compute.osAdminLogin すべてのユーザー

プロジェクトまたはインスタンス

ユーザーが Google Cloud コンソールまたは Google Cloud CLI から SSH アクセスを必要とする場合は、これらのロールをプロジェクト レベルで付与するか、さらに compute.projects.get 権限を含むプロジェクト レベルでロールを付与する必要があります。

roles/iam.serviceAccountUser すべてのユーザー(VM にサービス アカウントがある場合) サービス アカウント
roles/compute.osLoginExternalUser 接続先の VM とは異なる組織のユーザー

組織

このロールは、組織管理者が付与する必要があります。

OS Login を有効にする

次のメタデータを設定して、2 要素認証で OS Login または OS Login を有効にします。プロジェクト内のすべての VM で OS Login を有効にする場合は、メタデータをプロジェクト レベルで設定します。単一の VM で OS Login を有効にする場合は、メタデータをインスタンス レベルで設定します。

  1. OS Login を有効にします。
    • キー: enable-oslogin
    • 値: TRUE
  2. (省略可)OS Login 2 要素認証を有効にします。
    • キー: enable-oslogin-2fa
    • 値: TRUE

OS Login メタデータを設定すると、Compute Engine では VM の authorized_keys ファイルが削除され、プロジェクトまたはインスタンスのメタデータに保存されている SSH 認証鍵からの接続を受け入れなくなります。

VM 作成時に OS Login を有効にする

Google Cloud コンソールまたは gcloud CLI を使用して、VM を作成するときに OS Login(必要に応じて 2 段階認証プロセス)を有効にします。

コンソール

公開イメージから VM を作成し、次の構成を指定して、起動時に OS Login と OS Login の 2 要素認証(省略可)を有効にする VM を作成します。

  1. [ネットワーキング、ディスク、セキュリティ、管理、単一テナンシー] セクションで、[セキュリティ] セクションを開きます。
  2. [アクセスを管理] セクションを開きます。
  3. [IAM 権限で VM アクセスを制御する] を選択します。
  4. 省略可: OS Login の 2 要素認証を有効にする場合は、[2 段階認証プロセスが必要] を選択します。
  5. [作成] をクリックして VM を作成し、起動します。

gcloud

  1. Google Cloud コンソールで、「Cloud Shell をアクティブにする」をクリックします。

    Cloud Shell をアクティブにする

    Google Cloud コンソールの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。

  2. 次のいずれかの gcloud compute instance create コマンドを実行して、起動時に OS Login と OS Login の 2 要素認証(省略可)を有効にする VM を作成します。

    • OS Login のみを有効にするには、次のコマンドを実行します。

      gcloud compute instances create VM_NAME \
       --image-family=IMAGE_FAMILY \
       --image-project=IMAGE_PROJECT \
       --metadata enable-oslogin=TRUE
      
    • OS Login の 2 要素認証を有効にするには、次のコマンドを実行します。

      gcloud compute instances create VM_NAME \
       --image-family=IMAGE_FAMILY \
       --image-project=IMAGE_PROJECT \
       --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE
      

    次のように置き換えます。

    • VM_NAME: 新しい VM の名前。
    • IMAGE_FAMILY: Linux OS のイメージ ファミリー。これにより、非推奨ではない最新の OS イメージから VM が作成されます。すべての公開イメージ ファミリーについては、オペレーティング システムの詳細をご覧ください。
    • IMAGE_PROJECT: イメージ ファミリーを含むイメージ プロジェクト。OS ごとに独自のイメージ プロジェクトがあります。すべての公開イメージ プロジェクトについては、オペレーティング システムの詳細をご覧ください。

Terraform

メタデータ値は、次のいずれかの方法でプロジェクトや VM に適用できます。

  • オプション 1: プロジェクト全体のメタデータに enable-oslogin を設定して、プロジェクト内のすべての VM に適用する。

    google_compute_project_metadata Terraform リソースを使用して、oslogin=TRUE にメタデータ値を設定します。

    resource "google_compute_project_metadata" "default" {
      metadata = {
        enable-oslogin = "TRUE"
      }
    }

    OS Login を無効にする場合は、enable-osloginFALSE に設定します。

  • オプション 2: 新規または既存の VM のメタデータに enable-oslogin を設定する。

    Terraform リソース google_compute_instance を使用して oslogin=TRUE を設定します。oslogin_instance_name は実際の VM 名に置き換えます。

    resource "google_compute_instance" "oslogin_instance" {
      name         = "oslogin-instance-name"
      machine_type = "f1-micro"
      zone         = "us-central1-c"
      metadata = {
        enable-oslogin : "TRUE"
      }
      boot_disk {
        initialize_params {
          image = "debian-cloud/debian-11"
        }
      }
      network_interface {
        # A default network is created for all GCP projects
        network = "default"
        access_config {
        }
      }
    }

    あるいは、enable-osloginFALSE に設定して VM が OS Login を使用できないようにすることもできます。

OS Login が有効になっている VM に接続する

Linux VM に接続するで説明されている方法で OS Login が有効になっている VM に接続します。

OS Login が有効になっている VM に接続すると、Compute Engine では組織管理者が構成したユーザー名が使用されます。組織管理者がユーザー名を構成していない場合、Compute Engine は USERNAME_DOMAIN_SUFFIX という形式でユーザー名を生成します。ユーザー名の詳細については、OS Login の仕組みをご覧ください。

OS Login の 2 要素認証が有効になっている VM に接続すると、選択した 2 段階認証プロセス方式または本人確認方法に基づくメッセージも表示されます。スマートフォン プロンプトの場合は、スマートフォンまたはタブレットに表示されたプロンプトに同意して続行します。他の方法の場合は、セキュリティ コードまたはワンタイム パスワードを入力します。

OS Login の問題の解決方法

OS Login のエラーを診断して解決する方法については、OS Login のトラブルシューティングをご覧ください。

次のステップ