In diesem Dokument wird beschrieben, wie Sie OS Login und OS Login mit 2-Faktor-Authentifizierung (2FA) einrichten.
Mit OS Login können Sie den Zugriff auf VM-Instanzen anhand von IAM-Berechtigungen steuern. Sie können OS Login mit oder ohne 2FA verwenden, aber Sie können 2FA nicht ohne OS Login verwenden. Weitere Informationen zu OS Login und OS Login-2FA, einschließlich der Identitätsbestätigungsarten, die OS Login unterstützt, finden Sie unter OS Login.
Hinweise
- Wenn Sie OS Login-2FA verwenden möchten, aktivieren Sie 2FA für Ihre Domain oder Ihr Konto:
-
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben.
Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft.
Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich wie folgt bei Compute Engine authentifizieren.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
- Windows Server- und SQL Server-VMs
- Fedora CoreOS-VMs. Verwenden Sie zum Verwalten des Instanzzugriffs auf VMs, die mit diesen Images erstellt wurden, das Ignition-System von Fedora CoreOS.
- Enable OS Login:
- Schlüssel:
enable-oslogin
- Wert:
TRUE
- Schlüssel:
- Optional: Aktivieren Sie die Bestätigung in zwei Schritten:
- Schlüssel:
enable-oslogin-2fa
- Wert:
TRUE
- Schlüssel:
- Enable OS Login:
- Schlüssel:
enable-oslogin
- Wert:
TRUE
- Schlüssel:
- Optional: Aktivieren Sie die Bestätigung in zwei Schritten:
- Schlüssel:
enable-oslogin-2fa
- Wert:
TRUE
- Schlüssel:
- Maximieren Sie den Bereich Erweiterte Optionen.
- Maximieren Sie den Abschnitt Sicherheit.
- Maximieren Sie den Abschnitt Zugriff verwalten.
- Wählen Sie VM-Zugriff über IAM-Berechtigungen steuern aus.
- Optional: Wenn Sie OS Login-2FA aktivieren möchten, wählen Sie Bestätigung in zwei Schritten erforderlich aus.
- Klicken Sie auf Erstellen, um die VM zu erstellen und zu starten.
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Erstellen Sie eine VM, die OS Login und (optional) OS Login-2FA beim Start aktiviert. Führen Sie dazu einen der folgenden
gcloud compute instance create
-Befehle aus:Führen Sie den folgenden Befehl aus, um nur OS Login zu aktivieren:
gcloud compute instances create VM_NAME \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata enable-oslogin=TRUE
Führen Sie den folgenden Befehl aus, um OS Login-2FA zu aktivieren:
gcloud compute instances create VM_NAME \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE
Dabei gilt:
VM_NAME
ist der Name der neuen VM.IMAGE_FAMILY
ist die Image-Familie eines Linux-Betriebssystems. Dadurch wird die VM aus dem neuesten nicht verworfenen Betriebssystem-Image erstellt. Informationen zu allen öffentlichen Image-Familien finden Sie unter Details zu Betriebssystemen.IMAGE_PROJECT
ist das Image-Projekt, das das Image enthält Jedes Betriebssystem hat ein eigenes Image-Projekt. Informationen zu allen öffentlichen Image-Projekten finden Sie unter Details zu Betriebssystemen.
Option 1: Legen Sie in den projektweiten Metadaten
enable-oslogin
fest, damit der Eintrag für alle VMs im Projekt gilt.Verwenden Sie die Terraform-Ressource
google_compute_project_metadata
und legen Sie einen Metadatenwert mitoslogin=TRUE
fest:Alternativ können Sie
enable-oslogin
aufFALSE
festlegen, um OS Login zu deaktivieren.Option 2: Legen Sie in den Metadaten einer neuen oder vorhandenen VM
enable-oslogin
fest.Verwenden Sie die Terraform-Ressource
google_compute_instance
und legen Sieoslogin=TRUE
fest. Ersetzen Sieoslogin_instance_name
durch den Namen Ihrer VM.Alternativ können Sie
enable-oslogin
aufFALSE
setzen, damit OS Login für Ihre VM nicht verwendet wird.- Mehr darüber erfahren, wie SSH-Verbindungen zu Linux-VMs in Compute Engine funktionieren
- SSH mit Sicherheitsschlüsseln verwenden, um den Zugriff auf VMs weiter einzuschränken
Terraform
Wenn Sie die Terraform-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
Weitere Informationen unter Set up authentication for a local development environment.
Beschränkungen
OS Login wird auf den folgenden VMs nicht unterstützt:OS Login-IAM-Rollen zuweisen
Weisen Sie alle Nutzer, die eine Verbindung zu VMs mit aktiviertem OS Login herstellen, alle erforderlichen IAM-Rollen zu.
Rolle Erforderliche Nutzer Berechtigungsstufe roles/compute.osLogin
oderroles/compute.osAdminLogin
Alle Nutzer Auf dem Projekt oder der Instanz.
Wenn ein Nutzer SSH-Zugriff über die Google Cloud Console oder die Google Cloud-Befehlszeile benötigt, müssen Sie diese Rollen auf Projektebene oder zusätzlich eine Rolle auf Projektebene zuweisen, die die
compute.projects.get
-Berechtigung enthält.roles/iam.serviceAccountUser
Alle Nutzer, wenn die VM über ein Dienstkonto verfügt Im Dienstkonto roles/compute.osLoginExternalUser
Nutzer aus einer anderen Organisation als der VM, zu der sie eine Verbindung herstellen Diese Rolle muss von einem Organisationsadministrator zugewiesen werden.
OS Login aktivieren
Sie können OS Login oder OS Login mit 2-Faktor-Authentifizierung für eine einzelne VM oder alle VMs in einem Projekt aktivieren, indem Sie OS Login-Metadaten festlegen.
Wenn Sie OS Login-Metadaten festlegen, löscht Compute Engine die
authorized_keys
-Dateien der VM und akzeptiert keine Verbindungen mehr von SSH-Schlüsseln, die in Projekt- oder Instanzmetadaten gespeichert sind.OS Login für alle VMs in einem Projekt aktivieren
Wenn Sie OS Login für alle VMs in einem Projekt aktivieren möchten, legen Sie die folgenden Werte in den Projektmetadaten fest:
OS Login für eine einzelne VM aktivieren
Wenn Sie OS Login für eine einzelne VM aktivieren möchten, legen Sie die folgenden Werte in den Instanzmetadaten fest:
OS Login während der VM-Erstellung aktivieren
Aktivieren Sie OS Login (optional mit Bestätigung in zwei Schritten) beim Erstellen einer VM mit der Google Cloud Console oder der gcloud-Befehlszeile.
Console
Erstellen Sie eine VM, die OS Login und (optional) OS Login-2FA beim Start aktiviert. Erstellen Sie dazu eine VM aus einem öffentlichen Image und geben Sie die folgenden Konfigurationen an:
gcloud
Terraform
Sie können die Metadatenwerte auf Ihre Projekte oder VMs anwenden. Verwenden Sie dazu eine der folgenden Optionen:
Verbindung zu VMs herstellen, für die OS Login aktiviert ist
Stellen Sie mithilfe der unter Verbindung zu Linux-VMs herstellen beschriebenen Methoden eine Verbindung zu VMs her, für die OS Login aktiviert ist.
Wenn Sie eine Verbindung zu VMs herstellen, für die OS Login aktiviert ist, verwendet Compute Engine den Nutzernamen, den Ihr Organisationsadministrator für Sie konfiguriert hat. Wenn Ihr Organisationsadministrator keinen Nutzernamen für Sie konfiguriert hat, generiert Compute Engine einen Nutzernamen im Format
USERNAME_DOMAIN_SUFFIX
. Weitere Informationen zu Nutzernamen finden Sie unter So funktioniert OS Login.Wenn Sie eine Verbindung zu VMs herstellen, für die OS Login-2FA aktiviert ist, wird anhand der ausgewählten Bestätigungsmethode in zwei Schritten oder der Art der Identitätsbestätigung eine Meldung angezeigt. Bei Smartphone-Aufforderungen müssen Sie Ihren Anmeldeversuch auf Ihrem Smartphone oder Tablet bestätigen, um fortzufahren. Bei den anderen Methoden geben Sie Ihren Sicherheitscode oder Ihr Einmalpasswort ein.
Fehlerbehebung bei OS Login
Methoden zur Diagnose und Behebung von OS Login-Fehlern finden Sie unter Fehlerbehebung bei OS Login.
Nächste Schritte
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2024-12-03 (UTC).
-