이 페이지에서는 OS 로그인 서비스 및 사용 방법에 대해 설명합니다. OS 로그인 설정 방법은 OS 로그인 설정을 참조하세요.
개별 SSH 키를 생성하고 관리할 필요 없이 OS 로그인을 사용하여 IAM으로 인스턴스에 대한 SSH 액세스를 관리하세요. OS 로그인은 VM 인스턴스에서 일관된 Linux 사용자 ID를 유지하며, 여러 VM 또는 프로젝트에서 많은 사용자를 관리하는 데 권장되는 방법입니다.
OS 로그인의 이점
OS 로그인을 사용하면 Linux 사용자 계정을 Google ID에 연결하여 SSH 액세스 관리를 간소화할 수 있습니다. 관리자는 IAM 권한을 설정하여 인스턴스 또는 프로젝트 수준에서 인스턴스에 대한 액세스를 쉽게 관리할 수 있습니다.
OS 로그인은 다음과 같은 이점을 제공합니다.
Linux 계정 수명 주기 자동 관리 - Linux 사용자 계정을 사용자의 Google ID에 직접 연결할 수 있으므로 같은 프로젝트 또는 조직의 모든 인스턴스에서 동일한 Linux 계정 정보가 사용됩니다.
Google IAM을 사용한 세부 승인 - 프로젝트 및 인스턴스 수준의 관리자는 더 광범위한 권한 조합을 부여하지 않고도 IAM을 사용하여 사용자의 Google ID에 SSH 액세스 권한을 부여할 수 있습니다. 예를 들어 사용자에게 시스템에 로그인할 수 있는 권한은 부여하고
sudo
와 같은 명령어를 실행할 수 있는 권한은 부여하지 않을 수 있습니다. Google에서는 이러한 권한을 확인하여 사용자가 VM 인스턴스에 로그인할 수 있는지 여부를 결정합니다.권한 자동 업데이트 - OS 로그인을 사용하면 관리자가 IAM 권한을 변경할 때 사용 권한이 자동으로 업데이트됩니다. 예를 들어 Google ID에서 IAM 권한을 삭제하면 VM 인스턴스에 대한 액세스 권한이 취소됩니다. Google에서는 무단 액세스를 방지하기 위해 모든 로그인 시도에 대해 권한을 확인합니다.
기존 Linux 계정을 가져오는 기능 - 관리자는 온프레미스에 설정된 AD(Active Directory) 및 LDAP(Lightweight Directory Access Protocol)의 Linux 계정 정보를 동기화하도록 선택할 수 있습니다. 예를 들어 사용자가 클라우드 환경과 온프레미스 환경 모두에서 동일한 사용자 ID(UID)를 사용하도록 할 수 있습니다.
Google 계정 2단계 인증 통합 - OS 로그인 사용자가 VM에 연결할 때 다음 2단계 인증 방법 또는 본인 확인 유형 중 하나를 사용하여 ID를 검증하도록 선택적으로 요구할 수 있습니다.
- Google OTP
- 문자 메시지 또는 전화 통화 확인
- 전화 안내 메시지
- 보안 키 일회용 비밀번호(OTP)
감사 로깅과 통합 - OS 로그인은 OS 로그인 사용자의 VM 연결을 모니터링하는 데 사용할 수 있는 감사 로깅을 제공합니다.
OS 로그인 사용 방법
OS 로그인이 사용 설정되면 Compute Engine이 VM 및 OS 로그인 사용자의 Google 계정에 대해 구성을 수행합니다.
VM 구성
Google에서 제공하는 공개 이미지에는 VM 액세스를 관리하는 유틸리티 및 구성요소가 포함되어 있습니다. OS 로그인을 사용 설정하면 VM에서 다음 구성요소와 구성이 설정됩니다.
- VM의
authorized_keys
파일을 삭제합니다. AuthorizedKeysCommand
옵션을 사용하여 OpenSSH 서버를 구성합니다. 이 명령어는 로그인 시도를 인증하기 위해 Linux 사용자 계정과 연결된 SSH 키를 검색합니다.OS 로그인 사용자 정보를 운영체제에 제공하도록 NSS(Name Service Switch) 기능을 구성합니다.
사용자 로그인을 승인하도록 일련의 플러그인 인증 모듈(PAM) 구성을 추가합니다. PAM 구성은 로그인 및 관리 액세스에 대한 IAM 권한 검사를 수행합니다. 이러한 PAM 구성은 Linux 사용자 계정의 홈 디렉터리 설정과 같은 다른 작업도 수행합니다.
OS 로그인 구성요소에 대한 자세한 내용은 OS 로그인 GitHub 페이지를 검토하세요.
사용자 계정 구성
OS 로그인은 사용자가 다음을 수행할 때 사용자 이름을 포함해서 POSIX 정보를 사용하여 사용자의 Google 계정을 구성합니다.
- Google Cloud 콘솔을 사용하여 OS 로그인 지원 VM에 연결
- gcloud CLI를 사용하여 OS 로그인 지원 VM에 연결
- gcloud CLI를 사용하여 공개 SSH 키 가져오기
- OS Login API를 사용하여 공개 SSH 키 가져오기
OS 로그인은 다음 값을 사용해서 POSIX 계정을 구성합니다.
사용자 이름:
USERNAME_DOMAIN_SUFFIX
형식의 사용자 이름입니다. 사용자가 OS 로그인 지원 VM을 호스팅하는 조직이 아닌 다른 Google Workspace 조직에서 온 경우, 해당 사용자 이름에ext_
가 프리픽스로 표시됩니다. 사용자가 서비스 계정이면 해당 사용자 이름에sa_
가 프리픽스로 표시됩니다.Cloud ID 관리자는 사용자 이름을 수정할 수 있고 Google Workspace 최고 관리자는 사용자 이름 형식을 변경하여 도메인 서픽스를 삭제할 수 있습니다.
UID: 무작위로 생성된 고유한 POSIX 호환 사용자 ID입니다.
GID: UID와 동일한 POSIX 호환 그룹 ID입니다.
홈 디렉터리: 사용자의 홈 디렉터리 경로입니다.
조직 관리자는 사용자의 POSIX 계정 정보를 구성하고 업데이트할 수 있습니다. 자세한 내용은 Directory API를 사용한 사용자 계정 수정을 참조하세요.
다음 단계
- 단계별 안내를 보려면 다음 중 하나를 검토하세요.
- 조직의 OS 로그인 관리하기 검토
- OS 로그인 문제 해결