Se usó la API de Cloud Translation para traducir esta página.

Habilita y configura Acceso al SO en GKE

Estándar

En esta página, se explica cómo habilitar el Acceso al SO y configurar una política de la organización para aplicar el Acceso al SO en los clústeres y nodos del modo estándar de GKE. Puedes usar el Acceso al SO para administrar el acceso SSH a tus instancias con la IAM sin tener que crear y administrar claves SSH individuales.

El Acceso al SO no está disponible para los clústeres del modo Autopilot de GKE porque GKE administra los nodos.

Los clústeres que usan nodos públicos no admiten el Acceso al SO. Si esta restricción se aplica a un proyecto que ejecuta clústeres con nodos públicos, es posible que las instancias de VM que se ejecutan en ese proyecto no funcionen correctamente.

Esta página está dirigida a los especialistas en seguridad que desean agregar políticas de Acceso al SO en clústeres de GKE Standard para garantizar que todas las instancias de VM tengan el Acceso al SO de forma predeterminada. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Tareas y roles comunes de los usuarios de GKE Enterprise.

Antes de leer esta página, asegúrate de conocer la descripción general de OS Login.

Descripción general

Puedes configurar una restricción de Acceso al SO en la organización para asegurarte de que todos los proyectos nuevos y las instancias de VM creadas en ellos tengan habilitado Acceso al SO. El Acceso al SO se convirtió rápidamente en unaGoogle Cloud práctica recomendada de seguridad, por lo que se recomienda que apliques su uso a través de una política de la organización.

En las siguientes instrucciones, se detalla cómo habilitar Acceso al SO mediante una política de la organización en GKE.

Antes de comenzar

Antes de comenzar, asegúrate de haber realizado las siguientes tareas:

Habilita la API de Google Kubernetes Engine.

Habilitar la API de Google Kubernetes Engine

Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta gcloud components update para obtener la versión más reciente.
Nota: Para las instalaciones de gcloud CLI existentes, asegúrate de configurar las propiedades compute/region y compute/zone. Cuando configuras las ubicaciones predeterminadas, puedes evitar errores en la CLI de gcloud como el siguiente: One of [--zone, --region] must be supplied: Please specify location.

Actualiza los proyectos existentes para que usen Acceso al SO

Antes de configurar la política de la organización, migra cualquier clúster existente para usar el Acceso al SO.

Actualiza la versión en todos los grupos de nodos de un proyecto a una versión compatible:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Reemplaza lo siguiente:
- CLUSTER_NAME: Es el nombre del clúster existente.
- NODE_POOL_NAME: el nombre del grupo de nodos
- VERSION: Es una versión compatible con Acceso al SO, que puede ser la versión 1.20.5 o posterior.
Habilita el Acceso al SO en todas las instancias de VM nuevas y existentes de forma predeterminada mediante la configuración de la marca enable-oslogin en TRUE. No es necesario reiniciar el nodo.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Precaución: Habilitar el Acceso al SO en las instancias inhabilita la configuración de la clave SSH basada en metadatos en esas instancias. La inhabilitación del Acceso al SO restablece las claves SSH que configuraste en los metadatos del proyecto o instancia.

Configura la política de la organización de Acceso al SO

Para configurar la restricción de Acceso al SO a nivel de la organización, sigue estos pasos:

Busca el ID de tu organización mediante la ejecución del comando siguiente:
```
gcloud organizations list
```

Configura la política de la organización de Acceso al SO. Reemplaza ORGANIZATION_ID por el ID de tu organización.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Una vez establecida la política de la organización, se aplican las siguientes condiciones:

enable-oslogin se configura como true en los metadatos del proyecto de todos los proyectos nuevos.
Se rechazan las solicitudes de actualización para establecer enable-oslogin en false en metadatos del proyecto o de la instancia.

Administra el acceso a los nodos

Una vez que habilitaste la política de la organización de Acceso al SO, ya no deberás administrar claves SSH para tomar decisiones de autorización. Acceso al SO mueve la administración de autorización a la Identity and Access Management. Para administrar el acceso SSH a los nodos, usa Acceso al SO. Para obtener más detalles, consulta Configura Acceso al SO.

¿Qué sigue?

Obtén más información sobre el servicio Acceso al SO.
Obtén información sobre cómo solucionar problemas de Acceso al SO.