OS Login の概要

このページでは、OS Login サービスとその仕組みについて説明します。OS Login の設定方法については、OS Login の設定をご覧ください。

OS Login では IAM を使用してインスタンスへの SSH アクセスを管理でき、個別の SSH 認証鍵を作成して管理する必要がありません。VM インスタンス間で一貫した Linux ユーザー ID を維持できるため、OS Login は複数の VM やプロジェクト間で多くのユーザーを管理する場合におすすめの方法です。

OS Login の利点

OS ログインは Linux ユーザーアカウントを Google ID にリンクして、SSH アクセス管理を簡素化します。管理者は IAM 権限を設定して、インスタンスレベルまたはプロジェクトレベルでインスタンスへのアクセスを簡単に管理できます。

OS ログインには、次の利点があります。

自動的な Linux アカウントライフサイクル管理 - Linux ユーザーアカウントとユーザーの Google ID を直接関連付けることにより、同じプロジェクト内や組織内のすべてのインスタンス間で同じ Linux アカウント情報を使用できます。
Google IAM を使用したきめ細かな認可 - 管理者は、プロジェクトレベルおよびインスタンスレベルで IAM を使用してユーザーの Google ID に SSH アクセスを付与でき、広範な権限を付与せずにすみます。たとえば、システムにログインできても sudo などのコマンドは実行できない権限をユーザーに付与できます。Google がこれらの権限をチェックして、ユーザーが VM インスタンスにログインできるかどうかを判断します。
権限の自動更新 - OS Login では、管理者が IAM の権限を変更すると、権限が自動的に更新されます。たとえば、Google ID から IAM 権限を削除すると、VM インスタンスへのアクセス権が取り消されます。Google は、すべてのログイン操作の権限をチェックして不要なアクセスを防ぎます。
既存の Linux アカウントをインポートする機能 - 管理者は、オンプレミスで設定された Active Directory（AD）および Lightweight Directory Access Protocol（LDAP）の Linux アカウント情報を同期することを選択できます。たとえば、クラウド環境とオンプレミス環境の両方でユーザーが同じユーザー ID（UID）を持つようにできます。
Google アカウントの 2 段階認証プロセスとのインテグレーション - OS Login ユーザーにオプションで、VM への接続時に次の 2 段階認証プロセスまたは本人確認方法のいずれかを使用して、自身の ID の検証を要求できます。
- Google 認証システム
- テキストメッセージまたは音声通話による確認
- スマートフォンプロンプト
- セキュリティキーのワンタイムパスワード（OTP）
監査ロギングとのインテグレーション - OS Login には、OS Login ユーザーの VM への接続をモニタリングするために使用できる監査ロギングが用意されています。

OS Login の仕組み

OS Login が有効になっている場合、Compute Engine は VM と OS ログインユーザーの Google アカウントで構成を実行します。

VM 構成

Google が提供する公開イメージには、VM アクセスを管理するためのユーティリティとコンポーネントが含まれています。OS Login を有効にすると、次のコンポーネントと構成が VM に設定されます。

VM の authorized_keys ファイルを削除します。
AuthorizedKeysCommand オプションを使用して OpenSSH サーバーを構成します。このコマンドにより、ログイン操作の認証に使用する、Linux ユーザーアカウントに関連付けられた SSH 認証鍵を取得します。

注: OS Login が有効になっている場合でも、ローカルユーザーアカウントのアクセスをプロビジョニングするように authorized_keys ファイルを構成できます。構成すると、authorized_keys ファイルで構成された SSH 公開鍵を使用して、ローカルユーザーによるユーザーログイン試行の認証が行われます。ローカルユーザーアカウントには、OS Login ユーザーが使用するものとは異なるユーザー名と UID が必要です。
OS Login のユーザー情報をオペレーティングシステムに提供するための NSS（ネームサービススイッチ）機能を構成します。
ユーザーログインを承認するための Pluggable Authentication Modules（PAM）構成のセットを追加します。PAM 構成は、ログインと管理アクセスに関する IAM 権限のチェックを行います。これらの PAM 構成は、Linux ユーザーアカウントのホームディレクトリの設定などの他のタスクも行います。

OS Login コンポーネントの詳細については、OS Login の GitHub ページをご覧ください。

ユーザーアカウントの構成

次のいずれかを行うと、OS Login は POSIX 情報（ユーザー名を含む）を使用して Google アカウントを構成します。

Google Cloud コンソールを使用して OS Login 対応の VM に接続する
gcloud CLI を使用して OS Login 対応の VM に接続する
gcloud CLI を使用して公開 SSH 認証鍵をインポートする
OS Login API を使用して公開 SSH 認証鍵をインポートする

OS Login では、次の値を使用して POSIX アカウントを構成します。

ユーザー名: USERNAME_DOMAIN_SUFFIX 形式のユーザー名。ユーザーが OS Login 対応 VM をホストしている組織とは異なる Google Workspace 組織に属している場合、ユーザー名の先頭に接頭辞 ext_ が付けられます。ユーザーがサービスアカウントの場合、ユーザー名の先頭に接頭辞 sa_ が付けられます。

Cloud Identity 管理者はユーザー名を変更でき、Google Workspace 特権管理者はユーザー名の形式を変更して、ドメインサフィックスを削除できます。
UID: 一意のランダムに生成される POSIX 準拠のユーザー ID。
GID: POSIX 準拠のグループ ID（UID と同じ）。
ホームディレクトリ: ユーザーのホームディレクトリへのパス。

組織管理者は、ユーザーの POSIX アカウント情報を構成、更新できます。詳細については、Directory API を使用してユーザーアカウントを変更するをご覧ください。

次のステップ

手順については、次のいずれかをご覧ください。
- OS Login の設定。
- 2 段階認証プロセスを使用した OS Login の設定
組織での OS Login の管理を確認する。
OS Login のトラブルシューティングを行う。