Questo documento descrive come configurare OS Login e OS Login con l'autenticazione a due fattori (2FA).
OS Login ti consente di controllare l'accesso alle istanze di macchine virtuali (VM) in base alle autorizzazioni IAM. Puoi utilizzare OS Login con o senza 2FA, ma non puoi utilizzare OS Login. Per scoprire di più su OS Login e OS Login 2FA, inclusi i tipi di verifica supportati da OS Login, consulta Informazioni su OS Login.
Prima di iniziare
- Se vuoi utilizzare OS Login 2FA, attiva questa autenticazione nel tuo dominio o account:
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è il processo mediante il quale viene verificata l'identità per l'accesso ai servizi e alle API Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti in Compute Engine nel seguente modo.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
- Set a default region and zone.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Crea credenziali di autenticazione locali per il tuo Account Google:
gcloud auth application-default login
- VM Windows Server e SQL Server
- VM Fedora CoreOS. Per gestire l'accesso delle istanze alle VM create utilizzando queste immagini, utilizza il sistema di accensione Fedora CoreOS
- Attiva OS Login:
- Chiave:
enable-oslogin
- Valore:
TRUE
- Chiave:
- (Facoltativo) Abilita l'autenticazione a due fattori:
- Chiave:
enable-oslogin-2fa
- Valore:
TRUE
- Chiave:
- Attiva OS Login:
- Chiave:
enable-oslogin
- Valore:
TRUE
- Chiave:
- (Facoltativo) Abilita l'autenticazione a due fattori:
- Chiave:
enable-oslogin-2fa
- Valore:
TRUE
- Chiave:
- Espandi la sezione Opzioni avanzate.
- Espandi la sezione Sicurezza.
- Espandi la sezione Gestisci accesso.
- Seleziona Controlla l'accesso alle VM tramite le autorizzazioni IAM.
- (Facoltativo) Se vuoi attivare OS Login 2FA, seleziona Richiedi verifica in due passaggi.
- Fai clic su Crea per creare e avviare la VM.
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Crea una VM che abiliti OS Login e, facoltativamente, OS Login 2FA all'avvio, eseguendo uno dei seguenti comandi
gcloud compute instance create
:Per abilitare solo OS Login, esegui questo comando:
gcloud compute instances create VM_NAME \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata enable-oslogin=TRUE
Per abilitare OS Login 2FA, esegui questo comando:
gcloud compute instances create VM_NAME \ --image-family=IMAGE_FAMILY \ --image-project=IMAGE_PROJECT \ --metadata enable-oslogin=TRUE,enable-oslogin-2fa=TRUE
Sostituisci quanto segue:
VM_NAME
: il nome della nuova VM.IMAGE_FAMILY
: la famiglia di immagini di un sistema operativo Linux. Viene creata la VM dall'immagine del sistema operativo non deprecata più recente. Per tutte le famiglie di immagini pubbliche, consulta Dettagli del sistema operativo.IMAGE_PROJECT
: il progetto di immagini che contiene la famiglia di immagini. Ogni sistema operativo ha il proprio progetto di immagini. Per tutti i progetti di immagini pubblici, consulta Dettagli del sistema operativo.
Opzione 1: imposta
enable-oslogin
nei metadati a livello di progetto in modo che venga applicato a tutte le VM nel progetto.Utilizza la risorsa Terraform
google_compute_project_metadata
e imposta un valore dei metadati doveoslogin=TRUE
:In alternativa, puoi impostare
enable-oslogin
suFALSE
per disattivare OS Login.Opzione 2: imposta
enable-oslogin
nei metadati di una VM nuova o esistente.Utilizza la risorsa
google_compute_instance
Terraform e impostaoslogin=TRUE
. Sostituiscioslogin_instance_name
con il nome della tua VM.In alternativa, puoi impostare
enable-oslogin
suFALSE
per escludere la tua VM dall'utilizzo di OS Login.- Scopri come funzionano le connessioni SSH alle VM Linux su Compute Engine.
- Scopri come usare SSH con i token di sicurezza per limitare ulteriormente l'accesso alle VM.
Terraform
Per utilizzare gli esempi di Terraform su questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Per ulteriori informazioni, consulta Set up authentication for a local development environment.
Limitazioni
OS Login non è supportato nelle seguenti VM:Assegna ruoli IAM di OS Login
Assegna tutti i ruoli IAM richiesti agli utenti che si connettono alle VM in cui è abilitato OS Login.
Ruolo Utenti obbligatori Livello di concessione roles/compute.osLogin
oroles/compute.osAdminLogin
Tutti gli utenti Se un utente richiede l'accesso SSH dalla console Google Cloud o da Google Cloud CLI, devi concedere questi ruoli a livello di progetto o, in aggiunta, un ruolo a livello di progetto che contenga l'autorizzazione
compute.projects.get
.roles/iam.serviceAccountUser
Tutti gli utenti, se la VM ha un account di servizio In Account di servizio. roles/compute.osLoginExternalUser
Utenti di un'organizzazione diversa dalla VM a cui si connettono Nell'Organizzazione.
Questo ruolo deve essere concesso da un amministratore dell'organizzazione.
Attiva OS Login
Puoi abilitare OS Login o OS Login con l'autenticazione a due fattori per una singola VM, o per tutte le VM in un progetto, impostando i metadati OS Login.
Quando imposti i metadati OS Login, Compute Engine elimina i file
authorized_keys
della VM e non accetta più connessioni dalle chiavi SSH archiviate nei metadati del progetto o dell'istanza.Abilita OS Login per tutte le VM in un progetto
Per abilitare OS Login per tutte le VM in un progetto, imposta i seguenti valori nei metadati del progetto:
Abilita OS Login per una singola VM
Per abilitare OS Login per una singola VM, imposta i seguenti valori nei metadati dell'istanza:
Abilita OS Login durante la creazione della VM
Abilita OS Login (facoltativamente con la verifica in due passaggi) durante la creazione di una VM mediante la console Google Cloud o gcloud CLI.
Console
Crea una VM che abiliti OS Login e, facoltativamente, OS Login 2FA all'avvio, creando una VM da un'immagine pubblica e specificando le seguenti configurazioni:
gcloud
Terraform
Puoi applicare i valori dei metadati ai progetti o alle VM utilizzando una delle seguenti opzioni:
Connettiti alle VM in cui è abilitato OS Login
Connettiti alle VM in cui è abilitato OS Login utilizzando i metodi descritti in Connettersi a VM Linux.
Quando ti connetti alle VM in cui è abilitato OS Login, Compute Engine utilizza il nome utente configurato per te dall'amministratore della tua organizzazione. Se l'amministratore dell'organizzazione non ha configurato un nome utente per te, Compute Engine genera un nome utente nel formato
USERNAME_DOMAIN_SUFFIX
. Per ulteriori informazioni sui nomi utente, vedi Come funziona OS Login.Quando ti connetti alle VM in cui è abilitata l'autenticazione a due fattori OS Login, viene visualizzato anche un messaggio in base al metodo di verifica in due passaggi o al tipo di verifica selezionato. Per il metodo di richiesta sul telefono, accetta le richieste sullo smartphone o sul tablet per continuare. Se vuoi usare altri metodi, inserisci il tuo codice di sicurezza o una password monouso.
Risolvere i problemi relativi a OS Login
Per trovare metodi per diagnosticare e risolvere gli errori OS Login, consulta Risoluzione dei problemi di OS Login.
Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-05-29 UTC.
[{ "type": "thumb-down", "id": "hardToUnderstand", "label":"Hard to understand" },{ "type": "thumb-down", "id": "incorrectInformationOrSampleCode", "label":"Incorrect information or sample code" },{ "type": "thumb-down", "id": "missingTheInformationSamplesINeed", "label":"Missing the information/samples I need" },{ "type": "thumb-down", "id": "translationIssue", "label":"Problema di traduzione" },{ "type": "thumb-down", "id": "otherDown", "label":"Altra" }] [{ "type": "thumb-up", "id": "easyToUnderstand", "label":"Facile da capire" },{ "type": "thumb-up", "id": "solvedMyProblem", "label":"Il problema è stato risolto" },{ "type": "thumb-up", "id": "otherUp", "label":"Altra" }] -