OS Login einrichten

In diesem Dokument wird beschrieben, wie Sie OS Login und OS Login mit 2-Faktor-Authentifizierung (2FA) einrichten.

Mit OS Login können Sie den Zugriff auf VM-Instanzen anhand von IAM-Berechtigungen steuern. Sie können OS Login mit oder ohne 2FA verwenden, aber Sie können 2FA nicht ohne OS Login verwenden. Weitere Informationen zu OS Login und OS Login-2FA, einschließlich der Identitätsbestätigungsarten, die OS Login unterstützt, finden Sie unter OS Login.

Hinweise

  • Wenn Sie OS Login-2FA verwenden möchten, aktivieren Sie 2FA für Ihre Domain oder Ihr Konto:
  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich wie folgt bei Compute Engine authentifizieren.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init
    2. Set a default region and zone.

      3. Terraform

      Wenn Sie die Terraform-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.

      1. Install the Google Cloud CLI.

      2. To initialize the gcloud CLI, run the following command: 

        gcloud init

      3. If you're using a local shell, then create local authentication credentials for your user account: 

        gcloud auth application-default login

        You don't need to do this if you're using Cloud Shell.

      Weitere Informationen unter Set up authentication for a local development environment.

Beschränkungen

OS Login wird auf den folgenden VMs nicht unterstützt:
  • Windows Server- und SQL Server-VMs
  • Fedora CoreOS-VMs. Verwenden Sie zum Verwalten des Instanzzugriffs auf VMs, die mit diesen Images erstellt wurden, das Ignition-System von Fedora CoreOS.

OS Login-IAM-Rollen zuweisen

Weisen Sie alle Nutzer, die eine Verbindung zu VMs mit aktiviertem OS Login herstellen, alle erforderlichen IAM-Rollen zu.

Rolle Erforderliche Nutzer Berechtigungsstufe
roles/compute.osLogin oder roles/compute.osAdminLogin Alle Nutzer

Auf dem Projekt oder der Instanz.

Wenn ein Nutzer SSH-Zugriff über die Google Cloud Console oder die Google Cloud-Befehlszeile benötigt, müssen Sie diese Rollen auf Projektebene oder zusätzlich eine Rolle auf Projektebene zuweisen, die die compute.projects.get-Berechtigung enthält.
roles/iam.serviceAccountUser Alle Nutzer, wenn die VM über ein Dienstkonto verfügt Im Dienstkonto
roles/compute.osLoginExternalUser Nutzer aus einer anderen Organisation als der VM, zu der sie eine Verbindung herstellen

Für die Organisation

Diese Rolle muss von einem Organisationsadministrator zugewiesen werden.

OS Login aktivieren

Sie können OS Login oder OS Login mit der Bestätigung in zwei Schritten für eine einzelne VM oder alle VMs in einem Projekt aktivieren, indem Sie OS Login-Metadaten festlegen.

Wenn Sie OS Login-Metadaten festlegen, löscht Compute Engine die authorized_keys-Dateien der VM und akzeptiert keine Verbindungen mehr von SSH-Schlüsseln, die in Projekt- oder Instanzmetadaten gespeichert sind.

OS Login für alle VMs in einem Projekt aktivieren

Um OS Login für alle VMs in einem Projekt zu aktivieren, legen Sie in den Projektmetadaten die folgenden Werte fest:

  1. Enable OS Login:
    • Schlüssel: enable-oslogin
    • Wert: TRUE
  2. (Optional) Aktivieren Sie die Bestätigung in zwei Schritten:
    • Schlüssel: enable-oslogin-2fa
    • Wert: TRUE

OS Login für eine einzelne VM aktivieren

Um OS Login für eine einzelne VM zu aktivieren, legen Sie die folgenden Werte in den Instanzmetadaten fest:

  1. Enable OS Login:
    • Schlüssel: enable-oslogin
    • Wert: TRUE
  2. (Optional) Aktivieren Sie die Bestätigung in zwei Schritten:
    • Schlüssel: enable-oslogin-2fa
    • Wert: TRUE

OS Login während der VM-Erstellung aktivieren

Aktivieren Sie OS Login (optional mit Bestätigung in zwei Schritten) beim Erstellen einer VM mit der Google Cloud Console oder der gcloud-Befehlszeile.

Console

Erstellen Sie eine VM, die OS Login und (optional) OS Login-2FA beim Start aktiviert. Erstellen Sie dazu eine VM aus einem öffentlichen Image und geben Sie die folgenden Konfigurationen an:

  1. Maximieren Sie im Abschnitt Netzwerke, Laufwerke, Sicherheit, Verwaltung, Einzelmandanten den Abschnitt Verwaltung.
  2. Maximieren Sie den Abschnitt Zugriff verwalten.
  3. Wählen Sie VM-Zugriff über IAM-Berechtigungen steuern aus.
  4. Optional: Wenn Sie OS Login-2FA aktivieren möchten, wählen Sie Bestätigung in zwei Schritten erforderlich aus.
  5. Klicken Sie auf Erstellen, um die VM zu erstellen und zu starten.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Erstellen Sie eine VM, die OS Login und (optional) OS Login-2FA beim Start aktiviert. Führen Sie dazu einen der folgenden gcloud compute instance create-Befehle aus:

    • Führen Sie den folgenden Befehl aus, um nur OS Login zu aktivieren:

      gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE

    • Führen Sie den folgenden Befehl aus, um OS Login-2FA zu aktivieren:

      gcloud compute instances create VM_NAME \
 --image-family=IMAGE_FAMILY \
 --image-project=IMAGE_PROJECT \
 --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE

    Dabei gilt:

    • VM_NAME ist der Name der neuen VM.
    • IMAGE_FAMILY ist die Image-Familie eines Linux-Betriebssystems. Dadurch wird die VM aus dem neuesten nicht verworfenen Betriebssystem-Image erstellt. Informationen zu allen öffentlichen Image-Familien finden Sie unter Details zu Betriebssystemen.
    • IMAGE_PROJECT ist das Image-Projekt, das das Image enthält Jedes Betriebssystem hat ein eigenes Image-Projekt. Informationen zu allen öffentlichen Image-Projekten finden Sie unter Details zu Betriebssystemen.

Terraform

Sie können die Metadatenwerte auf Ihre Projekte oder VMs anwenden. Verwenden Sie dazu eine der folgenden Optionen:

  • Option 1: Legen Sie in den projektweiten Metadaten enable-oslogin fest, damit der Eintrag für alle VMs im Projekt gilt.

    Verwenden Sie die Terraform-Ressource google_compute_project_metadata und legen Sie einen Metadatenwert mit oslogin=TRUE fest:

    compute/os_login/main.tf 
    resource "google_compute_project_metadata" "default" {
  metadata = {
    enable-oslogin = "TRUE"
  }
}

    Alternativ können Sie enable-oslogin auf FALSE festlegen, um OS Login zu deaktivieren.

  • Option 2: Legen Sie in den Metadaten einer neuen oder vorhandenen VM enable-oslogin fest.

    Verwenden Sie die Terraform-Ressource google_compute_instance und legen Sie oslogin=TRUE fest. Ersetzen Sie oslogin_instance_name durch den Namen Ihrer VM.

    compute/os_login/main.tf 
    resource "google_compute_instance" "oslogin_instance" {
  name         = "oslogin-instance-name"
  machine_type = "f1-micro"
  zone         = "us-central1-c"
  metadata = {
    enable-oslogin : "TRUE"
  }
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }
  network_interface {
    # A default network is created for all GCP projects
    network = "default"
    access_config {
    }
  }
}

    Alternativ können Sie enable-oslogin auf FALSE setzen, damit OS Login für Ihre VM nicht verwendet wird.

Verbindung zu VMs herstellen, für die OS Login aktiviert ist

Stellen Sie eine Verbindung zu VMs her, für die OS Login aktiviert ist. Verwenden Sie dazu die unter Verbindung zu Linux-VMs herstellen beschriebenen Methoden.

Wenn Sie eine Verbindung zu VMs herstellen, für die OS Login aktiviert ist, verwendet Compute Engine den Nutzernamen, den Ihr Organisationsadministrator für Sie konfiguriert hat. Wenn Ihr Organisationsadministrator keinen Nutzernamen für Sie konfiguriert hat, generiert Compute Engine einen Nutzernamen im Format USERNAME_DOMAIN_SUFFIX. Weitere Informationen zu Nutzernamen finden Sie unter So funktioniert OS Login.

Wenn Sie eine Verbindung zu VMs herstellen, für die OS Login-2FA aktiviert ist, wird anhand der ausgewählten Bestätigungsmethode in zwei Schritten oder der Art der Identitätsbestätigung eine Meldung angezeigt. Bei Smartphone-Aufforderungen müssen Sie Ihren Anmeldeversuch auf Ihrem Smartphone oder Tablet bestätigen, um fortzufahren. Bei den anderen Methoden geben Sie Ihren Sicherheitscode oder Ihr Einmalpasswort ein.

Fehlerbehebung bei OS Login

Methoden zur Diagnose und Behebung von OS Login-Fehlern finden Sie unter Fehlerbehebung bei OS Login.

Nächste Schritte