Menyiapkan Login OS


Dokumen ini menjelaskan cara menyiapkan Login OS dan Login OS dengan autentikasi 2 langkah (2FA).

Login OS memungkinkan Anda mengontrol akses ke instance virtual machine (VM) berdasarkan izin IAM. Anda dapat menggunakan Login OS dengan atau tanpa 2FA, tetapi Anda tidak dapat menggunakan 2FA tanpa menggunakan Login OS. Untuk mempelajari lebih lanjut Login OS dan Login OS 2FA, termasuk jenis verifikasi yang didukung Login OS, lihat Tentang Login OS.

Sebelum memulai

  • Jika Anda ingin menggunakan OS Login 2FA, aktifkan 2FA pada domain atau akun Anda:
  • Jika Anda belum melakukannya, siapkan autentikasi. Autentikasi adalah proses verifikasi identitas Anda untuk mengakses layanan dan API Google Cloud. Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat mengautentikasi ke Compute Engine dengan memilih salah satu opsi berikut:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. Terraform

      Untuk menggunakan contoh Terraform di halaman ini dalam lingkungan pengembangan lokal, instal dan lakukan inisialisasi gcloud CLI, lalu siapkan Kredensial Default Aplikasi dengan kredensial pengguna Anda.

      1. Install the Google Cloud CLI.
      2. To initialize the gcloud CLI, run the following command:

        gcloud init
      3. If you're using a local shell, then create local authentication credentials for your user account:

        gcloud auth application-default login

        You don't need to do this if you're using Cloud Shell.

      Untuk informasi selengkapnya, lihat Set up authentication for a local development environment.

Batasan

Login OS tidak didukung di VM berikut:
  • VM Windows Server dan SQL Server
  • VM Fedora CoreOS. Untuk mengelola akses instance ke VM yang dibuat menggunakan image ini, gunakan sistem ignisi Fedora CoreOS

Menetapkan peran IAM Login OS

Tetapkan semua peran IAM yang diperlukan kepada pengguna yang terhubung ke VM yang mengaktifkan Login OS.

Peran Pengguna wajib Tingkat pemberian izin
roles/compute.osLogin atau roles/compute.osAdminLogin Semua pengguna

Pada Project atau instance.

Jika pengguna memerlukan akses SSH dari Google Cloud Console atau Google Cloud CLI, Anda harus memberikan peran ini di level project, atau juga memberikan peran di level project yang berisi compute.projects.get izin.

roles/iam.serviceAccountUser Semua pengguna, jika VM memiliki akun layanan Di Akun layanan.
roles/compute.osLoginExternalUser Pengguna dari organisasi yang berbeda dari VM yang terhubung

Di Organization.

Peran ini harus diberikan oleh administrator organisasi.

Mengaktifkan Login OS

Anda dapat mengaktifkan Login OS atau Login OS dengan autentikasi dua langkah untuk satu VM, atau semua VM dalam project, dengan menetapkan metadata Login OS.

Jika Anda menetapkan metadata Login OS, Compute Engine akan menghapus file authorized_keys VM dan tidak lagi menerima koneksi dari kunci SSH yang disimpan dalam metadata project atau instance.

Mengaktifkan Login OS untuk semua VM dalam project

Untuk mengaktifkan Login OS untuk semua VM dalam sebuah project, tetapkan nilai berikut di metadata project:

  1. Mengaktifkan Login OS:
    • Kunci: enable-oslogin
    • Nilai: TRUE
  2. (Opsional) Aktifkan autentikasi 2 langkah:
    • Kunci: enable-oslogin-2fa
    • Nilai: TRUE

Mengaktifkan Login OS untuk satu VM

Untuk mengaktifkan Login OS untuk satu VM, tetapkan nilai berikut di metadata instance:

  1. Mengaktifkan Login OS:
    • Kunci: enable-oslogin
    • Nilai: TRUE
  2. (Opsional) Aktifkan autentikasi 2 langkah:
    • Kunci: enable-oslogin-2fa
    • Nilai: TRUE

Mengaktifkan Login OS selama pembuatan VM

Aktifkan Login OS (opsional, dengan verifikasi 2 langkah) saat membuat VM menggunakan Google Cloud Console atau gcloud CLI.

Konsol

Buat VM yang mengaktifkan Login OS dan (opsional) Login OS 2FA saat memulai dengan membuat VM dari image publik serta menentukan konfigurasi berikut:

  1. Luaskan bagian Advanced options.
  2. Luaskan bagian Security.
  3. Perluas bagian Kelola akses.
  4. Pilih Control VM access through IAM permissions.
  5. Opsional: Jika Anda ingin mengaktifkan Login OS 2FA, pilih Require two-step verification.
  6. Klik Create untuk membuat dan memulai VM.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Buat VM yang mengaktifkan Login OS dan (opsional) Login OS 2FA saat startup dengan menjalankan salah satu dari perintah gcloud compute instance create berikut:

    • Untuk mengaktifkan Login OS saja, jalankan perintah berikut:

      gcloud compute instances create VM_NAME \
       --image-family=IMAGE_FAMILY \
       --image-project=IMAGE_PROJECT \
       --metadata enable-oslogin=TRUE
      
    • Untuk mengaktifkan OS Login 2FA, jalankan perintah berikut:

      gcloud compute instances create VM_NAME \
       --image-family=IMAGE_FAMILY \
       --image-project=IMAGE_PROJECT \
       --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE
      

    Ganti kode berikut:

    • VM_NAME: nama VM baru.
    • IMAGE_FAMILY: kelompok image OS Linux. Tindakan ini akan membuat VM dari image OS terbaru yang tidak dihentikan. Untuk semua kelompok image publik, lihat Detail sistem operasi.
    • IMAGE_PROJECT: project gambar yang berisi kelompok gambar. Setiap OS memiliki project gambar sendiri. Untuk semua project image publik, lihat Detail sistem operasi.

Terraform

Anda dapat menerapkan nilai metadata ke project atau VM menggunakan salah satu opsi berikut:

  • Opsi 1: Tetapkan enable-oslogin di metadata seluruh project agar diterapkan ke semua VM di project Anda.

    Gunakan resource Terraform google_compute_project_metadata dan tetapkan nilai metadata dengan oslogin=TRUE:

    resource "google_compute_project_metadata" "default" {
      metadata = {
        enable-oslogin = "TRUE"
      }
    }

    Atau, Anda dapat mengaatur enable-oslogin ke FALSE untuk menonaktifkan Login OS.

  • Opsi 2: Menetapkan enable-oslogin dalam metadata VM baru atau yang sudah ada.

    Gunakan resource Terraform google_compute_instance dan tetapkan oslogin=TRUE. Ganti oslogin_instance_name dengan nama VM Anda.

    resource "google_compute_instance" "oslogin_instance" {
      name         = "oslogin-instance-name"
      machine_type = "f1-micro"
      zone         = "us-central1-c"
      metadata = {
        enable-oslogin : "TRUE"
      }
      boot_disk {
        initialize_params {
          image = "debian-cloud/debian-11"
        }
      }
      network_interface {
        # A default network is created for all GCP projects
        network = "default"
        access_config {
        }
      }
    }

    Atau, Anda dapat menetapkan enable-oslogin ke FALSE untuk mengecualikan VM agar tidak menggunakan Login OS.

Menghubungkan ke VM yang mengaktifkan Login OS

Hubungkan ke VM yang mengaktifkan Login OS menggunakan metode yang dijelaskan dalam Menghubungkan ke VM Linux.

Saat Anda terhubung ke VM yang mengaktifkan Login OS, Compute Engine akan menggunakan nama pengguna yang dikonfigurasi oleh administrator organisasi untuk Anda. Jika administrator organisasi Anda belum mengonfigurasi nama pengguna, Compute Engine akan membuat nama pengguna dalam format USERNAME_DOMAIN_SUFFIX. Untuk informasi selengkapnya tentang nama pengguna, lihat Cara kerja Login OS.

Saat terhubung ke VM yang mengaktifkan OS Login 2FA, Anda juga akan melihat pesan berdasarkan metode verifikasi 2 langkah atau jenis tantangan yang dipilih. Untuk metode perintah ponsel, terima perintah di ponsel atau tablet untuk melanjutkan. Untuk metode lain, masukkan kode keamanan atau sandi sekali pakai.

Memecahkan masalah Login OS

Untuk menemukan metode dalam mendiagnosis dan menyelesaikan error Login OS, lihat Memecahkan Masalah Login OS.

Langkah berikutnya