OS Login の概要

---

このページでは、OS Login サービスとその仕組みについて説明します。OS Login を設定する方法については、OS Login の設定をご覧ください。

OS ログインでは IAM を使用してインスタンスへの SSH アクセスを管理でき、個別の SSH 認証鍵を作成して管理する必要がありません。OS ログインを利用することにより、VM インスタンス間で一貫した Linux ユーザー ID を維持できるため、複数のインスタンスやプロジェクト間で多くのユーザーを管理するためのおすすめの方法です。

OS ログインの利点

OS ログインは Linux ユーザー アカウントを Google ID にリンクして、SSH アクセス管理を簡素化します。管理者は IAM 権限を設定して、インスタンス レベルまたはプロジェクト レベルでインスタンスへのアクセスを簡単に管理できます。

OS ログインには、次の利点があります。

• 自動的な Linux アカウント ライフサイクル管理 - Linux ユーザー アカウントとユーザーの Google ID を直接関連付けることにより、同じプロジェクト内や組織内のすべてのインスタンス間で同じ Linux アカウント情報を使用できます。

• Google IAM を使用したきめ細かな認可 - 管理者は、プロジェクト レベルおよびインスタンス レベルで IAM を使用してユーザーの Google ID に SSH アクセスを付与でき、広範な権限を付与せずにすみます。たとえば、システムにログインできても sudo などのコマンドは実行できない権限をユーザーに付与できます。Google がこれらの権限をチェックして、ユーザーが VM インスタンスにログインできるかどうかを判断します。

• 権限の自動更新 - OS Login では、管理者が IAM の権限を変更すると、権限が自動的に更新されます。たとえば、Google ID から IAM 権限を削除すると、VM インスタンスへのアクセス権が取り消されます。Google は、すべてのログイン操作の権限をチェックして不要なアクセスを防ぎます。

• 既存の Linux アカウントをインポートする機能 - 管理者は、オンプレミスで設定された Active Directory（AD）および Lightweight Directory Access Protocol（LDAP）の Linux アカウント情報を同期することを選択できます。たとえば、クラウド環境とオンプレミス環境の両方でユーザーが同じユーザー ID（UID）を持つようにできます。

• Google アカウントの 2 段階認証プロセスとの統合 - VM への接続時にオプションで、次の 2 段階認証プロセスまたは本人確認方法のいずれかを使用して、OS Login ユーザーに自身の ID の検証を要求できます。

  • Google 認証システム
  • テキスト メッセージまたは音声通話による確認
  • スマートフォン プロンプト
  • セキュリティ キーのワンタイム パスワード（OTP）

• 監査ロギングとの統合 - OS Login では監査ロギングが提供され、OS Login ユーザーの VM への接続をモニタリングできます。

OS ログインの仕組み

OS ログインが有効になっている場合、Compute Engine は VM と OS ログイン ユーザーの Google アカウントで構成を実行します。

VM 構成

Google が提供する公開イメージには、VM アクセスを管理するためのユーティリティとコンポーネントが含まれています。OS ログインを有効にすると、次のコンポーネントと構成が VM に設定されます。

• AuthorizedKeysCommand オプションを使用して OpenSSH サーバーを構成します。このコマンドにより、ログイン操作の認証に使用する、Linux ユーザー アカウントに関連付けられた SSH 認証鍵を取得します。
• OS Login のユーザー情報をオペレーティング システムに提供するための NSS（ネームサービス スイッチ）機能を構成します。
• ユーザー ログインを承認するための Pluggable Authentication Modules（PAM）構成のセットを追加します。PAM 構成は、ログインと管理アクセスに関する IAM 権限のチェックを行います。これらの PAM 構成は、Linux ユーザー アカウントのホーム ディレクトリの設定などの他のタスクも行います。

OS ログイン コンポーネントの詳細については、OS ログインに関する GitHub ページをご覧ください。

ユーザー アカウントの構成

次のいずれかを行うと、OS Login は POSIX 情報（ユーザー名を含む）を使用して Google アカウントを構成します。

• Google Cloud コンソールを使用して OS Login 対応の VM に接続する
• gcloud CLI を使用して OS Login 対応の VM に接続する
• gcloud CLI を使用して公開 SSH 認証鍵をインポートする
• OS Login API を使用して公開 SSH 認証鍵をインポートする

OS Login は、次の値を使用して POSIX アカウントを構成します。

• ユーザー名: USERNAME_DOMAIN_SUFFIX 形式のユーザー名。ユーザーが OS Login 対応 VM をホストしている組織とは異なる Google Workspace 組織に属している場合、ユーザー名の先頭に接頭辞 ext_ が付けられます。ユーザーがサービス アカウントの場合、ユーザー名の先頭に接頭辞 sa_ が付けられます。

  Cloud Identity の管理者はユーザー名を変更でき、Google Workspace の特権管理者はユーザー名の形式を変更してドメイン サフィックスを削除できます。

• UID: POSIX 準拠のランダムに生成された一意のユーザー ID。

• GID: UID と同じ POSIX 準拠のグループ ID。

• ホーム ディレクトリ: ユーザーのホーム ディレクトリへのパス。

組織管理者は、ユーザーの POSIX アカウント情報を構成、更新できます。詳細については、Directory API を使用してユーザー アカウントを変更するをご覧ください。

次のステップ

• 手順については、次のいずれかをご覧ください。
  • OS Login の設定。
  • 2 段階認証プロセスを使用した OS Login の設定
• 組織での OS Login の管理を確認する。
• OS Login のトラブルシューティングを行う。