このページでは、OS Login サービスとその仕組みについて説明します。OS Login の設定方法については、OS Login の設定をご覧ください。
OS Login では IAM を使用してインスタンスへの SSH アクセスを管理でき、個別の SSH 認証鍵を作成して管理する必要がありません。VM インスタンス間で一貫した Linux ユーザー ID を維持できるため、OS Login は複数の VM やプロジェクト間で多くのユーザーを管理する場合におすすめの方法です。
OS Login の利点
OS ログインは Linux ユーザー アカウントを Google ID にリンクして、SSH アクセス管理を簡素化します。管理者は IAM 権限を設定して、インスタンス レベルまたはプロジェクト レベルでインスタンスへのアクセスを簡単に管理できます。
OS ログインには、次の利点があります。
自動的な Linux アカウント ライフサイクル管理 - Linux ユーザー アカウントとユーザーの Google ID を直接関連付けることにより、同じプロジェクト内や組織内のすべてのインスタンス間で同じ Linux アカウント情報を使用できます。
Google IAM を使用したきめ細かな認可 - 管理者は、プロジェクト レベルおよびインスタンス レベルで IAM を使用してユーザーの Google ID に SSH アクセスを付与でき、広範な権限を付与せずにすみます。たとえば、システムにログインできても
sudo
などのコマンドは実行できない権限をユーザーに付与できます。Google がこれらの権限をチェックして、ユーザーが VM インスタンスにログインできるかどうかを判断します。権限の自動更新 - OS Login では、管理者が IAM の権限を変更すると、権限が自動的に更新されます。たとえば、Google ID から IAM 権限を削除すると、VM インスタンスへのアクセス権が取り消されます。Google は、すべてのログイン操作の権限をチェックして不要なアクセスを防ぎます。
既存の Linux アカウントをインポートする機能 - 管理者は、オンプレミスで設定された Active Directory(AD)および Lightweight Directory Access Protocol(LDAP)の Linux アカウント情報を同期することを選択できます。たとえば、クラウド環境とオンプレミス環境の両方でユーザーが同じユーザー ID(UID)を持つようにできます。
Google アカウントの 2 段階認証プロセスとのインテグレーション - OS Login ユーザーにオプションで、VM への接続時に次の 2 段階認証プロセス(2FA)または本人確認方法のいずれかを使用して、自身の ID の検証を要求できます。
- Google 認証システム
- テキスト メッセージまたは音声通話による確認
- スマートフォン プロンプト
- セキュリティ キーのワンタイム パスワード(OTP)
監査ロギングとのインテグレーション - OS Login には、OS Login ユーザーの VM への接続をモニタリングするために使用できる監査ロギングが用意されています。
OS Login の仕組み
OS Login が有効になっている場合、Compute Engine は VM と OS ログイン ユーザーの Google アカウントで構成を実行します。
VM 構成
Google が提供する公開イメージには、VM アクセスを管理するためのユーティリティとコンポーネントが含まれています。OS Login を有効にすると、次のコンポーネントと構成が VM に設定されます。
- VM の
authorized_keys
ファイルを削除します。 AuthorizedKeysCommand
オプションを使用して OpenSSH サーバーを構成します。このコマンドにより、ログイン操作の認証に使用する、Linux ユーザー アカウントに関連付けられた SSH 認証鍵を取得します。OS Login のユーザー情報をオペレーティング システムに提供するための NSS(ネームサービス スイッチ)機能を構成します。
Linux ユーザー アカウントのホーム ディレクトリの設定や、2FA が有効になっている場合の 2FA チャレンジの処理など、ユーザー ログインの承認を支援するための Pluggable Authentication Modules(PAM)構成のセットを追加します。
OS Login コンポーネントの詳細については、OS Login の GitHub ページをご覧ください。
ユーザー アカウントの構成
次のいずれかを行うと、OS Login は POSIX 情報(ユーザー名を含む)を使用して Google アカウントを構成します。
- Google Cloud コンソールを使用して OS Login 対応の VM に接続する
- gcloud CLI を使用して OS Login 対応の VM に接続する
- gcloud CLI を使用して公開 SSH 認証鍵をインポートする
- OS Login API を使用して公開 SSH 認証鍵をインポートする
OS Login では、次の値を使用して POSIX アカウントを構成します。
ユーザー名:
USERNAME_DOMAIN_SUFFIX
形式のユーザー名。ユーザーが OS Login 対応 VM をホストしている組織とは異なる Google Workspace 組織に属している場合、ユーザー名の先頭に接頭辞ext_
が付けられます。ユーザーがサービス アカウントの場合、ユーザー名の先頭に接頭辞sa_
が付けられます。Cloud Identity 管理者はユーザー名を変更でき、Google Workspace 特権管理者はユーザー名の形式を変更して、ドメイン サフィックスを削除できます。
UID: 一意のランダムに生成される POSIX 準拠のユーザー ID。
GID: POSIX 準拠のグループ ID(UID と同じ)。
ホーム ディレクトリ: ユーザーのホーム ディレクトリへのパス。
組織管理者は、ユーザーの POSIX アカウント情報を構成、更新できます。詳細については、Directory API を使用してユーザー アカウントを変更するをご覧ください。
次のステップ
- 手順については、次のいずれかをご覧ください。
- 組織での OS Login の管理を確認する。
- OS Login のトラブルシューティングを行う。