Esta página se ha traducido con Cloud Translation API.

Habilitar y configurar OS Login en GKE

Estándar

En esta página se explica cómo habilitar OS Login y configurar una política de organización para aplicar OS Login en clústeres y nodos del modo Estándar de GKE. Puedes usar OS Login para gestionar el acceso SSH a tus instancias mediante IAM sin tener que crear ni gestionar claves SSH individuales.

OS Login no está disponible en los clústeres del modo Autopilot de GKE porque GKE gestiona los nodos.

Los clústeres que usan nodos públicos no admiten el inicio de sesión del SO. Si esta restricción se aplica a un proyecto que ejecuta clústeres con nodos públicos, es posible que las instancias de VM que se ejecuten en ese proyecto no funcionen correctamente.

Esta página está dirigida a especialistas en seguridad que quieran añadir políticas de inicio de sesión del SO en clústeres estándar de GKE para asegurarse de que todas las instancias de VM tengan habilitado el inicio de sesión del SO de forma predeterminada. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido, consulta Roles y tareas habituales de los usuarios de GKE. Google Cloud

Antes de leer esta página, familiarízate con la descripción general del inicio de sesión con SO.

Información general

Puedes configurar una restricción de OS Login en tu organización para asegurarte de que todos los proyectos nuevos y las instancias de VM creadas en ellos tengan OS Login habilitado. Inicio de sesión con SO se ha convertido rápidamente en unaGoogle Cloud práctica recomendada de seguridad, por lo que te recomendamos que apliques su uso mediante una política de la organización.

En las siguientes instrucciones se explica cómo habilitar OS Login mediante una política de organización en GKE.

Antes de empezar

Antes de empezar, asegúrate de que has realizado las siguientes tareas:

Habilita la API de Google Kubernetes Engine.

Habilitar la API de Google Kubernetes Engine

Si quieres usar Google Cloud CLI para esta tarea, instálala y, a continuación, inicialízala. Si ya has instalado la gcloud CLI, obtén la versión más reciente ejecutando gcloud components update.
Nota: Si ya tienes instalada la CLI de gcloud, asegúrate de definir la compute/region propiedad. Si usas principalmente clústeres zonales, define compute/zone en su lugar. Si defines una ubicación predeterminada, puedes evitar errores en gcloud CLI como el siguiente: One of [--zone, --region] must be supplied: Please specify location. Es posible que tengas que especificar la ubicación en determinados comandos si la ubicación de tu clúster es diferente de la predeterminada que hayas definido.

Actualizar proyectos para usar OS Login

Antes de definir la política de la organización, migra los clústeres que tengas para que usen OS Login.

Actualiza la versión de todos los grupos de nodos de un proyecto a una versión compatible:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Haz los cambios siguientes:
- CLUSTER_NAME: el nombre del clúster.
- NODE_POOL_NAME: el nombre del grupo de nodos.
- VERSION: una versión compatible con OS Login, que puede ser la 1.20.5 o una posterior.
Habilita OS Login en todas las instancias de VM actuales y nuevas de forma predeterminada configurando la marca enable-oslogin en TRUE. No es necesario reiniciar el nodo.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Precaución: Si habilitas OS Login en las instancias, se inhabilitarán las configuraciones de claves SSH basadas en metadatos en esas instancias. Si inhabilitas OS Login, se restaurarán las claves SSH que hayas configurado en los metadatos del proyecto o de la instancia.

Definir la política de organización de OS Login

Para definir la restricción de inicio de sesión del SO a nivel de organización, haz lo siguiente:

Para encontrar el ID de tu organización, ejecuta el siguiente comando:
```
gcloud organizations list
```

Define la política de organización de OS Login. Sustituye ORGANIZATION_ID por el ID de tu organización.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Una vez que se ha definido la política de la organización, se aplican las siguientes condiciones:

enable-oslogin se define como true en los metadatos del proyecto para todos los proyectos nuevos.
Se rechazan las solicitudes de actualización para definir enable-oslogin como false en los metadatos de la instancia o del proyecto.

Gestionar el acceso a los nodos

Una vez que hayas habilitado la política de organización de inicio de sesión del SO, ya no tendrás que gestionar las claves SSH para tomar decisiones de autorización. Inicio de sesión del SO traslada la gestión de autorizaciones a Gestión de Identidades y Accesos. Para gestionar el acceso SSH a los nodos, usa OS Login. Para obtener más información, consulta el artículo sobre cómo configurar el inicio de sesión del SO.

Siguientes pasos

Consulta información sobre el servicio OS Login.
Consulta cómo solucionar problemas de OS Login.