本頁面由 Cloud Translation API 翻譯而成。

關於 OS 登入

本頁說明 OS Login 服務及其運作原理。如要瞭解如何設定 OS 登入，請參閱設定 OS 登入。

使用 OS Login 可透過 IAM 管理執行個體的 SSH 存取權，而不用建立及管理個別的 SSH 金鑰。OS 登入可使 Linux 使用者身分在不同的 VM 執行個體中保持一致，因此建議您使用這個方式來管理多個 VM 或專案中的眾多使用者。

OS 登入的優點

OS 登入可將 Linux 使用者帳戶連結至您的 Google 身分，因而能簡化 SSH 存取權管理。管理員可在執行個體或專案層級，藉由設定 IAM 權限來輕鬆管理執行個體存取權。

OS 登入可提供以下優點：

自動化 Linux 帳戶生命週期管理：您可以直接將 Linux 使用者帳戶繫結至使用者的 Google 身分，以便讓相同的 Linux 帳戶資訊可以在同一專案或機構的所有執行個體中使用。
使用 Google IAM 進行精細的授權：專案和執行個體層級的管理員可使用 IAM 將 SSH 存取權授予使用者的 Google 身分，而不需要授予範圍更廣的權限集。舉例來說，您可以授予使用者登入系統、但不能執行 sudo 等指令的權限。Google 會檢查這些權限，以判斷使用者是否可登入 VM 執行個體。
自動更新權限：透過 OS 登入，當管理員變更 IAM 權限時，系統會自動更新權限。舉例來說，如果您將某個 Google 身分的 IAM 權限移除，則 VM 執行個體的存取權也會隨之撤銷。每次有使用者嘗試登入時，Google 都會檢查權限，以防有人擅自存取。
能夠匯入現有的 Linux 帳戶：管理員可以選擇從內部部署設定的 Active Directory (AD) 和輕量型目錄存取協定 (LDAP) 同步處理 Linux 帳戶資訊。例如，您可以確保使用者在您的 Cloud 和內部部署環境中都使用相同的使用者 ID (UID)。
與 Google 帳戶兩步驟驗證整合 - 您可以選擇要求 OS Login 使用者在連線至 VM 時，使用下列其中一種兩步驟驗證 (2FA) 方法或身分確認問題類型驗證身分：
- Google Authenticator
- 簡訊或語音通話驗證
- 手機提示
- 安全金鑰動態密碼
支援憑證式驗證 (搶先版) - 您可以使用 SSH 憑證驗證，連線至使用 OS 登入的 VM。詳情請參閱「使用 OS Login 規定 SSH 憑證」。
整合稽核記錄 - OS 登入提供稽核記錄，可用於監控 OS 登入使用者與 VM 的連線。

OS 登入的運作原理

啟用 OS 登入功能後，Compute Engine 會在 VM 和 OS 登入使用者的 Google 帳戶上進行設定。

VM 設定

啟用 OS 登入後，Compute Engine 會刪除 VM 的 authorized_keys 檔案，並設定 OpenSSH 伺服器。這個伺服器會擷取與 Linux 使用者帳戶相關聯的 SSH 金鑰，以驗證使用者嘗試登入的活動。

即使已啟用 OS Login，您也可以設定 authorized_keys 檔案，為本機使用者帳戶佈建存取權。系統會使用 authorized_keys 檔案中設定的 SSH 公開金鑰，驗證本機使用者嘗試登入的活動。本機使用者帳戶和 OS 登入使用者的使用者名稱和 UID 必須不同。

如要進一步瞭解 OS 登入元件，請參閱 OS 登入 GitHub 頁面。

設定使用者帳戶

當您執行下列任一操作時，OS Login 會使用 POSIX 資訊 (包括使用者名稱) 設定 Google 帳戶：

使用 Google Cloud 控制台連線至已啟用 OS 登入功能的 VM
使用 gcloud CLI 連線至已啟用 OS 登入功能的 VM
使用 gcloud CLI 匯入公開 SSH 金鑰
使用 OS Login API 匯入公開安全殼層金鑰

OS 登入會使用下列值設定 POSIX 帳戶：

使用者名稱：格式為 USERNAME_DOMAIN_SUFFIX 的使用者名稱。如果使用者隸屬於的 Google Workspace 機構，與啟用 OS 登入功能的 VM 所在機構不同，則使用者名稱會加上 ext_ 前置字串。如果使用者是服務帳戶，使用者名稱會加上 sa_ 前置字元。

Cloud Identity 管理員可以修改使用者名稱，Google Workspace 超級管理員則可以變更使用者名稱格式，移除網域後置字元。
UID：隨機產生的專屬 POSIX 相容使用者 ID。
GID：符合 POSIX 標準的群組 ID，與 UID 相同。
主目錄：使用者的主目錄路徑。

機構管理員可以設定及更新使用者的 POSIX 帳戶資訊。詳情請參閱使用 Directory API 修改使用者帳戶。

後續步驟

如需逐步操作說明，請參閱下列其中一項：
- 設定 OS Login。
- 設定採用兩步驟驗證機制的 OS 登入
查看管理機構中 OS Login
排解 OS 登入問題。