Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se describe el servicio Acceso al SO y cómo funciona.
Para obtener información sobre cómo configurar Acceso al SO, consulta Configura Acceso al SO.
Usa el acceso al SO para administrar el acceso SSH a tus instancias con la IAM sin tener que crear y administrar Claves SSH individuales. El Acceso al SO mantiene una identidad de usuario de Linux coherente en todas las instancias de VM y es la forma recomendada para administrar muchos usuarios en múltiples VMs o proyectos.
Beneficios del Acceso al SO
El Acceso al SO vincula tu cuenta de usuario de Linux con tu identidad de Google para simplificar la administración del acceso SSH. Los administradores pueden administrar con facilidad el acceso a las instancias, ya sea a nivel de instancia o de proyecto, mediante la configuración de los permisos de IAM.
Acceso al SO ofrece los siguientes beneficios:
Administración automática del ciclo de vida de la cuenta de Linux: puedes vincular directamente una cuenta de usuario de Linux con la identidad de Google de un usuario para que se use la misma información de cuenta de Linux en todas las instancias del mismo proyecto o de la misma organización.
Autorización detallada con Google IAM: los administradores a nivel de proyecto y de instancia pueden usar IAM para otorgar acceso SSH a la identidad de Google de un usuario sin otorgar un conjunto más amplio de privilegios. Por ejemplo, puedes concederle a un usuario permisos para acceder al sistema, pero no la capacidad de ejecutar comandos como sudo. Google verifica estos permisos para determinar si un usuario puede acceder a una instancia de VM.
Actualizaciones automáticas de permisos: con el Acceso al SO, los permisos se actualizan de forma automática cuando un administrador cambia los permisos de IAM. Por ejemplo, si quitas los permisos de IAM de una identidad de Google, se revocará el acceso a las instancias de VM. Google verifica los permisos para cada intento de acceso a fin de evitar el acceso no deseado.
Capacidad para importar cuentas existentes de Linux: los administradores pueden optar por sincronizar la información de la cuenta de Linux desde Active Directory (AD) y Lightweight Directory Access Protocol (LDAP) que se configuran de forma local. Por ejemplo, puedes asegurarte de que los usuarios tengan el mismo ID de usuario (UID) en los entornos locales y de Cloud.
Integración en la verificación en dos pasos de la Cuenta de Google: de forma opcional, puedes exigir que los usuarios de Acceso al SO validen su identidad mediante uno de los siguientes métodos de verificación en 2 pasos (2FA) o tipos de verificación cuando se conectan a las VMs:
Integración en el registro de auditoría: Acceso al SO proporciona registros de auditoría que puedes usar para supervisar las conexiones a las VMs de los usuarios de Acceso al SO.
Cómo funciona Acceso al SO
Cuando el acceso a SO está habilitado, Compute Engine realiza configuraciones en las VM y las cuentas de Google de los usuarios de acceso a SO.
Configuración de VM
Las imágenes públicas que proporciona Google incluyen utilidades y componentes para administrar el acceso de VM. Cuando habilitas el Acceso al SO, los siguientes componentes y parámetros de configuración se establecen en la VM:
Borra los archivos authorized_keys de la VM.
Configura un servidor OpenSSH con la opción AuthorizedKeysCommand. Mediante este comando, se recuperan las llaves SSH asociadas con la cuenta de usuario de Linux para autenticar el intento de acceso.
Configura la funcionalidad NSS (Name Service Switch) a fin de proporcionar la información de usuario de acceso al SO para el sistema operativo.
Agrega un conjunto de opciones de configuración de Pluggable Authentication Modules (PAM) para ayudar a autorizar el acceso del usuario, como configurar el directorio principal de la cuenta de usuario de Linux o controlar los desafíos de la 2FA si está habilitada.
El Acceso al SO configura tu Cuenta de Google con información POSIX, incluido un nombre de usuario, cuando realizas alguna de las siguientes acciones:
Conéctate a una VM habilitada para el acceso a SO mediante la consola de Google Cloud
Conéctate a una VM habilitada para Acceso al SO mediante la CLI de gcloud
Importa una llave SSH pública con la CLI de gcloud
Importa una Llave SSH pública con la API de Acceso al SO
El Acceso a SO configura las cuentas POSIX con los siguientes valores:
Nombre de usuario: Un nombre de usuario en el formato USERNAME_DOMAIN_SUFFIX
Si el usuario es de una organización de Google Workspace diferente a la que aloja las VMs habilitadas para Acceso al SO, el nombre de usuario tendrá el prefijo ext_. Si el usuario es una cuenta de servicio, el nombre de usuario tiene el prefijo sa_.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-04-22 (UTC)"],[[["\u003cp\u003eOS Login streamlines SSH access management by linking Linux user accounts to Google identities, eliminating the need for individual SSH key management.\u003c/p\u003e\n"],["\u003cp\u003eIt leverages Google IAM for fine-grained authorization, enabling administrators to control access at the instance or project level and grant specific permissions, such as login without \u003ccode\u003esudo\u003c/code\u003e rights.\u003c/p\u003e\n"],["\u003cp\u003eOS Login automates Linux account lifecycle management, ensuring consistent user information across VMs, and automatically updates permissions based on changes in IAM settings.\u003c/p\u003e\n"],["\u003cp\u003eThe system supports integration with two-step verification methods and provides audit logging for monitoring VM connections.\u003c/p\u003e\n"],["\u003cp\u003eWhen OS Login is enabled, it configures VMs by managing \u003ccode\u003eauthorized_keys\u003c/code\u003e files, setting up an OpenSSH server with \u003ccode\u003eAuthorizedKeysCommand\u003c/code\u003e, configuring NSS functionality, and adding PAM configurations.\u003c/p\u003e\n"]]],[],null,["*** ** * ** ***\n\nThis page describes the OS Login service and how it works. To learn how to set\nup OS Login, see [Set up OS Login](/compute/docs/oslogin/set-up-oslogin).\n\nUse OS Login to manage SSH access to your instances using IAM\nwithout having to create and manage individual SSH keys. OS Login maintains a\nconsistent Linux user identity across VM instances and is the recommended way to\nmanage many users across multiple VMs or projects.\n| **Note:** When a user connects to a VM, that user can use all of the IAM permissions granted to the service account attached to the VM.\n\nBenefits of OS Login\n\nOS Login simplifies SSH access management by linking your Linux user account to\nyour Google identity. Administrators can easily manage access to instances at\neither an instance or project level by setting IAM permissions.\n\nOS Login provides the following benefits:\n\n- **Automatic Linux account lifecycle management** - You can directly tie\n a Linux user account to a user's Google identity so that the same Linux\n account information is used across all instances in the same project or\n organization.\n\n- **Fine grained authorization using Google IAM** - Project\n and instance-level administrators can use IAM to grant SSH\n access to a user's Google identity without granting a broader set of\n privileges. For example, you can grant a user permissions to log into the\n system, but not the ability to run commands such as `sudo`. Google checks\n these permissions to determine whether a user can log into a VM instance.\n\n- **Automatic permission updates** - With OS Login, permissions are updated\n automatically when an administrator changes IAM\n permissions. For example, if you remove IAM permissions from\n a Google identity, then access to VM instances is revoked. Google checks\n permissions for every login attempt to prevent unwanted access.\n\n- **Ability to import existing Linux accounts** - Administrators\n can choose to optionally synchronize Linux account information from\n Active Directory (AD) and Lightweight Directory Access Protocol (LDAP) that\n are set up on-premises. For example, you can ensure that users have the\n same user ID (UID) in both your Cloud and on-premises environments.\n\n- **Integration with Google Account two-step verification** - You can optionally\n require that OS Login users validate their identity using one of the following\n 2-step verification (2FA) methods or challenge types when connecting to VMs:\n\n - [Google Authenticator](https://support.google.com/accounts/answer/1066447)\n - Text message or phone call verification\n - [Phone prompts](https://support.google.com/accounts/answer/7026266)\n - [Security key one-time password (OTP)](https://gsuiteupdates.googleblog.com/2019/06/security-codes-and-security-keys.html)\n- **Support for certificate-based authentication (Preview)** - You can use SSH\n certificate authentication to connect to VMs that use OS Login. For more\n information, see\n [Require SSH certificates with OS Login](/compute/docs/oslogin/certificates).\n\n- **Integration with audit logging** - OS Login provides\n [audit logging](/compute/docs/oslogin/view-audit-logs) that you can use to\n monitor connections to VMs for OS Login users.\n\nHow OS Login works\n\nWhen OS Login is enabled, Compute Engine performs configurations\non VMs and the Google accounts of OS Login users.\n\nVM configuration\n\nWhen you enable OS Login, Compute Engine deletes the VM's `authorized_keys`\nfiles and configures an OpenSSH server. This server retrieves the SSH keys\nassociated with the Linux user account to authenticate the login attempt.\n\nYou can configure an `authorized_keys` file to provision access for a local user\naccount even when OS Login is enabled. SSH public keys that are configured in\nthe `authorized_keys` file are used to authenticate user login attempts by the\nlocal user. Local user accounts and OS Login users must have different usernames\nand UIDs.\n| **Note:** VMs that use OS Login can't use metadata-based SSH keys. If you enable OS Login for a VM, then the VM's guest agent ignores the keys stored in metadata. To learn more about using SSH keys with VMs, see [Add SSH keys to VMs](/compute/docs/connect/add-ssh-keys).\n\nFor more information about the OS Login components, review the\n[OS Login GitHub page](https://github.com/GoogleCloudPlatform/guest-oslogin#overview).\n\nUser account configuration\n\nOS Login configures your Google account with POSIX information, including a\nusername, when you do any of the following:\n\n- Connect to an OS Login-enabled VM using the Google Cloud console\n- Connect to an OS Login-enabled VM using the gcloud CLI\n- Import a public SSH key using the gcloud CLI\n- Import a public SSH key using the OS Login API\n\nOS Login configures POSIX accounts with the following values:\n\n- **Username:** a username in the format of\n \u003cvar translate=\"no\"\u003eUSERNAME\u003c/var\u003e`_`\u003cvar translate=\"no\"\u003eDOMAIN\u003c/var\u003e`_`\u003cvar translate=\"no\"\u003eSUFFIX\u003c/var\u003e.\n If the user is from a different Google Workspace organization than the\n one hosting their OS Login-enabled VMs, their username is prefixed\n with `ext_`. If the user is a service account, its username is prefixed with\n `sa_`.\n\n Cloud Identity administrators can\n [modify usernames](/compute/docs/oslogin/manage-oslogin-in-an-org#modify-users)\n and Google Workspace super administrators can change the username\n format to\n [remove the domain suffix](/compute/docs/oslogin/manage-oslogin-in-an-org#manage-oslogin-api).\n- **UID:** a unique, randomly-generated\n [POSIX-compliant](https://en.wikipedia.org/wiki/User_identifier) user ID.\n\n- **GID:** a POSIX-compliant group ID that is the same as the UID.\n\n- **Home directory:** the path to the user's home directory.\n\nOrganization administrators can configure and update a user's POSIX account\ninformation. For more information, see\n[Modify user accounts using the Directory API](/compute/docs/oslogin/manage-oslogin-in-an-org#modify-users).\n\nWhat's next\n\n- For step-by-step instructions, review one of the following:\n - [Setting up OS Login](/compute/docs/instances/managing-instance-access).\n - [Setting up OS Login with 2-step verification](/compute/docs/oslogin/setup-two-factor-authentication)\n- Review [Managing OS Login in an organization](/compute/docs/oslogin/manage-oslogin-in-an-org)\n- [Troubleshoot](/compute/docs/oslogin/troubleshoot-os-login) OS Login."]]