À propos d'OS Login


Cette page présente le service OS Login et son fonctionnement. Pour en savoir plus sur la configuration d'OS Login, consultez la section Configurer OS Login.

Utilisez OS Login pour gérer l'accès SSH à vos instances à l'aide d'IAM, sans avoir à créer et gérer des clés SSH individuelles. La connexion au système d'exploitation maintient une identité d'utilisateur Linux cohérente sur toutes les instances de VM et constitue le moyen privilégié de gérer de nombreux utilisateurs sur plusieurs VM ou projets.

Avantages d'OS Login

La connexion au système d'exploitation simplifie la gestion des accès SSH en associant votre compte utilisateur Linux à votre identité Google. Les administrateurs peuvent facilement gérer l'accès aux instances, au niveau d'une instance ou d'un projet en définissant des autorisations IAM.

La connexion au système d'exploitation offre les avantages suivants :

  • Gestion automatique du cycle de vie d'un compte Linux : vous pouvez associer directement un compte utilisateur Linux à l'identité Google d'un utilisateur, de sorte que les informations de compte Linux soient utilisées dans toutes les instances du même projet ou de la même organisation.

  • Attribution d'autorisations précises à l'aide de Google IAM : les administrateurs de projets et d'instances peuvent utiliser IAM pour autoriser l'accès SSH à l'identité Google d'un utilisateur, sans étendre les droits dont il dispose. Par exemple, vous pouvez autoriser un utilisateur à se connecter au système, mais pas à exécuter des commandes telles que sudo. Google vérifie ces autorisations pour déterminer si un utilisateur peut se connecter à une instance de VM.

  • Mises à jour automatiques des autorisations : avec OS Login, les autorisations sont mises à jour automatiquement lorsqu'un administrateur modifie les autorisations IAM. Par exemple, si vous supprimez les autorisations IAM d'une identité Google, l'accès aux instances de VM est alors révoqué. Google vérifie les autorisations pour chaque tentative de connexion afin d'empêcher les accès indésirables.

  • Possibilité d'importer des comptes Linux existants : les administrateurs peuvent éventuellement choisir de synchroniser les informations de compte Linux à partir d'Active Directory (AD) et du protocole LDAP (Lightweight Directory Access Protocol) configurés sur site. Par exemple, vous pouvez vous assurer que les utilisateurs ont le même identifiant utilisateur (UID) dans vos environnements Cloud et sur site.

  • Intégration à la validation en deux étapes du compte Google : vous pouvez éventuellement demander aux utilisateurs d'OS Login de valider leur identité lors de la connexion à des VM, grâce à l'une des méthodes de validation en deux étapes ou l'un des types de questions d'authentification ci-dessous :

  • Intégration aux journaux d'audit : OS Login propose une fonctionnalité de journalisation d'audit que vous pouvez utiliser pour surveiller les connexions aux VM pour les utilisateurs d'OS Login.

Fonctionnement d'OS Login

Lorsque OS Login est activé, Compute Engine effectue les configurations sur les VM et sur les comptes Google des utilisateurs d'OS Login.

Configuration de la VM

Les images publiques fournies par Google incluent des utilitaires et des composants permettant de gérer l'accès aux VM. Lorsque vous activez OS Login, les composants et configurations suivants sont configurés sur la VM :

  • Supprime les fichiers authorized_keys de la VM.
  • Configuration d'un serveur OpenSSH avec l'option AuthorizedKeysCommand. Cette commande extrait les clés SSH associées au compte utilisateur Linux pour authentifier la tentative de connexion.

  • Configuration de la fonctionnalité NSS (Name Service Switch) pour fournir les informations d'utilisateur au système d'exploitation.

  • Ajoute un ensemble de configurations Pluggable Authentication Modules (PAM) pour autoriser la connexion des utilisateurs. Les configurations PAM effectuent des contrôles d'autorisation IAM pour la connexion et l'accès administrateur. Ces configurations PAM effectuent également d'autres tâches, telles que la configuration du répertoire de base du compte utilisateur Linux.

Pour en savoir plus sur les composants d'OS Login, consultez la page GitHub d'OS Login.

Configuration de compte utilisateur

OS Login configure votre compte Google avec des informations POSIX, y compris un nom d'utilisateur, lorsque vous effectuez l'une des opérations suivantes :

  • Se connecter à une VM compatible avec OS Login en utilisant la console Google Cloud
  • Se connecter à une VM compatible avec OS Login en utilisant gcloud CLI
  • Importer une clé SSH publique en utilisant gcloud CLI
  • Importer une clé SSH publique en utilisant l'API OS Login

OS Login configure les comptes POSIX avec les valeurs suivantes :

  • Nom d'utilisateur : nom d'utilisateur au format USERNAME_DOMAIN_SUFFIX. Si l'utilisateur appartient à une organisation Google Workspace différente de celle hébergeant ses VM compatibles avec OS Login, son nom d'utilisateur porte le préfixe ext_. Si l'utilisateur est un compte de service, son nom d'utilisateur porte le préfixe sa_.

    Les administrateurs Cloud Identity peuvent modifier les noms d'utilisateur et les super-administrateurs Google Workspace peuvent modifier le format de nom d'utilisateur pour supprimer le suffixe de domaine.

  • UID : ID d'utilisateur unique compatible POSIX et généré de manière aléatoire.

  • GID : identifiant de groupe compatible POSIX, identique à l'UID.

  • Répertoire d'accueil : chemin d'accès au répertoire d'accueil de l'utilisateur.

Les administrateurs de l'organisation peuvent configurer et mettre à jour les informations du compte POSIX d'un utilisateur. Pour en savoir plus, consultez la page Modifier des comptes utilisateur en utilisant l'API Directory.

Étape suivante