Menyiapkan Login OS

Dokumen ini menjelaskan cara menyiapkan Login OS.

Login OS memungkinkan Anda mengontrol akses ke instance virtual machine (VM) berdasarkan izin IAM. Untuk mempelajari Login OS lebih lanjut, lihat Tentang Login OS.

Sebelum memulai

Siapkan autentikasi jika Anda belum melakukannya. Autentikasi memverifikasi identitas Anda untuk mengakses Google Cloud layanan dan API. Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke Compute Engine dengan memilih salah satu opsi berikut:
Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:
Konsol

Saat menggunakan Google Cloud konsol untuk mengakses Google Cloud layanan dan API, Anda tidak perlu menyiapkan autentikasi.
gcloud
1. Instal Google Cloud CLI. Setelah penginstalan, inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:
  gcloud init
  Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu .
  
  Catatan: Jika Anda telah menginstal gcloud CLI sebelumnya, pastikan Anda memiliki versi baru dengan menjalankan gcloud components update.
Tetapkan region dan zona default.

Terraform

Untuk menggunakan contoh Terraform di halaman ini dalam lingkungan pengembangan lokal, instal dan lakukan inisialisasi gcloud CLI, lalu siapkan Kredensial Default Aplikasi dengan kredensial pengguna Anda.

Instal Google Cloud CLI.
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu .
Jika Anda menggunakan shell lokal, buat kredensial autentikasi lokal untuk akun pengguna Anda:
```
gcloud auth application-default login
```
Anda tidak perlu melakukan hal ini jika menggunakan Cloud Shell.

Jika error autentikasi ditampilkan, dan Anda menggunakan penyedia identitas (IdP) eksternal, pastikan Anda telah login ke gcloud CLI dengan identitas gabungan Anda.

Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.

Batasan

VM Windows Server dan SQL Server.
VM Fedora CoreOS. Untuk mengelola akses instance ke VM yang dibuat menggunakan image ini, gunakan sistem ignisi Fedora CoreOS.
VM SLES-16. Untuk mengelola akses instance ke VM yang dibuat menggunakan image ini, gunakan SSH Berbasis Metadata.

Untuk memverifikasi dukungan Login OS untuk distribusi Linux tertentu, lihat Detail sistem operasi.

Menetapkan peran IAM Login OS

Tetapkan semua peran IAM yang diperlukan kepada pengguna yang terhubung ke VM yang mengaktifkan Login OS.

Peran Pengguna wajib Tingkat pemberian izin

Peran	Pengguna wajib	Tingkat pemberian izin
`roles/compute.osLogin` atau `roles/compute.osAdminLogin`	Semua pengguna	Pada Project atau instance. Jika pengguna memerlukan akses SSH dari Google Cloud konsol atau Google Cloud CLI, Anda harus memberikan peran ini di level project, atau juga memberikan peran di level project yang berisi izin `compute.projects.get`.
`roles/iam.serviceAccountUser`	Semua pengguna, jika VM memiliki akun layanan	Di Akun layanan.
`roles/compute.osLoginExternalUser`	Pengguna dari organisasi yang berbeda dari VM yang terhubung	Di Organization. Peran ini harus diberikan oleh administrator organisasi.

roles/compute.osLogin atau roles/compute.osAdminLogin

Semua pengguna

Pada Project atau instance.

Jika pengguna memerlukan akses SSH dari Google Cloud konsol atau Google Cloud CLI, Anda harus memberikan peran ini di level project, atau juga memberikan peran di level project yang berisi izin compute.projects.get.

roles/iam.serviceAccountUser Semua pengguna, jika VM memiliki akun layanan Di Akun layanan.

roles/compute.osLoginExternalUser

Pengguna dari organisasi yang berbeda dari VM yang terhubung

Di Organization.

Peran ini harus diberikan oleh administrator organisasi.

Mengaktifkan Login OS

Anda dapat mengaktifkan Login OS untuk satu VM, atau semua VM dalam sebuah project, dengan menetapkan enable-oslogin ke TRUE dalam metadata project atau instance.

Jika Anda menetapkan metadata Login OS, Compute Engine akan menghapus file authorized_keys VM dan tidak lagi menerima koneksi dari kunci SSH yang disimpan dalam metadata project atau instance.

Mengaktifkan Login OS untuk semua VM dalam sebuah project

Untuk mengaktifkan Login OS untuk semua VM dalam sebuah project, tetapkan nilai berikut dalam metadata project:

Kunci: enable-oslogin
Nilai: TRUE

Mengaktifkan Login OS untuk satu VM

Untuk mengaktifkan Login OS untuk satu VM, tetapkan nilai berikut dalam metadata instance:

Kunci: enable-oslogin
Nilai: TRUE

Mengaktifkan Login OS selama pembuatan VM

Aktifkan Login OS saat membuat VM menggunakan konsol Google Cloud atau gcloud CLI.

Konsol

Buat VM yang mengaktifkan Login OS saat startup dengan membuat VM dari image publik serta menentukan konfigurasi berikut:

Luaskan bagian Advanced options.
Luaskan bagian Security.
Luaskan bagian Manage access.
Pilih Control VM access through IAM permissions.
Klik Create untuk membuat dan memulai VM.

gcloud

Di konsol, aktifkan Cloud Shell. Google Cloud

Aktifkan Cloud Shell

Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan prompt command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.
Buat VM yang mengaktifkan Login OS saat startup dengan menjalankan perintah gcloud compute instance create berikut:
```
gcloud compute instances create VM_NAME \
   --image-family=IMAGE_FAMILY \
   --image-project=IMAGE_PROJECT \
   --metadata enable-oslogin=TRUE
```
Ganti kode berikut:
- VM_NAME: nama VM baru.
- IMAGE_FAMILY: kelompok image OS Linux. Tindakan ini akan membuat VM dari image OS terbaru yang tidak dihentikan. Untuk semua kelompok image publik, lihat Detail sistem operasi.
- IMAGE_PROJECT: project gambar yang berisi kelompok gambar. Setiap OS memiliki project gambar sendiri. Untuk semua project image publik, lihat Detail sistem operasi.

Terraform

Anda dapat menerapkan nilai metadata ke project atau VM menggunakan salah satu opsi berikut:

Opsi 1: Tetapkan enable-oslogin di metadata seluruh project agar diterapkan ke semua VM di project Anda.

Gunakan resource Terraform google_compute_project_metadata dan tetapkan nilai metadata dengan oslogin=TRUE:
```
resource "google_compute_project_metadata" "default" {
  metadata = {
    enable-oslogin = "TRUE"
  }
}
```
Atau, Anda dapat mengaatur enable-oslogin ke FALSE untuk menonaktifkan Login OS.

Opsi 2: Menetapkan enable-oslogin dalam metadata VM baru atau yang sudah ada.

Gunakan resource Terraform dan tetapkan oslogin=TRUE.google_compute_instance Ganti oslogin_instance_name dengan nama VM Anda.

resource "google_compute_instance" "oslogin_instance" {
  name         = "oslogin-instance-name"
  machine_type = "f1-micro"
  zone         = "us-central1-c"
  metadata = {
    enable-oslogin : "TRUE"
  }
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }
  network_interface {
    # A default network is created for all GCP projects
    network = "default"
    access_config {
    }
  }
}

Atau, Anda dapat menetapkan enable-oslogin ke FALSE untuk mengecualikan VM agar tidak menggunakan Login OS.

Menghubungkan ke VM yang mengaktifkan Login OS

Hubungkan ke VM yang mengaktifkan Login OS menggunakan metode yang dijelaskan dalam Menghubungkan ke VM Linux.

Saat Anda terhubung ke VM yang mengaktifkan Login OS, Compute Engine akan menggunakan nama pengguna yang dikonfigurasi oleh administrator organisasi untuk Anda. Jika administrator organisasi Anda belum mengonfigurasi nama pengguna, Compute Engine akan membuat nama pengguna dalam format USERNAME_DOMAIN_SUFFIX. Untuk informasi selengkapnya tentang nama pengguna, lihat Cara kerja Login OS.

Mengaktifkan Login OS dengan 2FA

Untuk keamanan tambahan, Anda dapat mewajibkan pengguna menggunakan autentikasi 2 langkah (2FA) saat terhubung ke VM yang mengaktifkan Login OS. Jika Anda berencana menggunakan Login OS dengan autentikasi 2 langkah, pengguna harus mengonfigurasi Verifikasi 2 Langkah di akun mereka. Untuk mengetahui informasi tentang metode 2FA yang didukung, lihat Tentang Login OS.

Sebelum mengaktifkan 2FA, pastikan Login OS diaktifkan seperti yang dijelaskan dalam Mengaktifkan Login OS. Untuk mengaktifkan Login OS 2FA, tetapkan nilai metadata berikut dalam metadata instance atau project:

Kunci: enable-oslogin-2fa
Nilai: TRUE

Agar Login OS 2FA diterapkan, metadata untuk Login OS (enable-oslogin) dan Login OS 2FA (enable-oslogin-2fa) harus ditetapkan ke TRUE.

Saat terhubung ke VM yang mengaktifkan OS Login 2FA, Anda juga akan melihat pesan berdasarkan metode verifikasi 2 langkah atau jenis tantangan yang dipilih. Untuk metode perintah ponsel, terima perintah di ponsel atau tablet untuk melanjutkan. Untuk metode lain, masukkan kode keamanan atau sandi sekali pakai.

Memecahkan masalah Login OS

Untuk menemukan metode dalam mendiagnosis dan menyelesaikan error Login OS, lihat Memecahkan Masalah Login OS.

Langkah berikutnya

Pelajari cara kerja koneksi SSH ke VM Linux di Compute Engine.
Pelajari cara menggunakan sertifikat SSH (Pratinjau) untuk terhubung ke VM.
Pelajari cara menggunakan SSH dengan kunci keamanan (Pratinjau) untuk membatasi akses lebih lanjut ke VM.

Menyiapkan Login OS Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Sebelum memulai

Konsol

gcloud

Terraform

Batasan

Menetapkan peran IAM Login OS

Mengaktifkan Login OS

Mengaktifkan Login OS untuk semua VM dalam sebuah project

Mengaktifkan Login OS untuk satu VM

Mengaktifkan Login OS selama pembuatan VM

Konsol

gcloud

Terraform

Menghubungkan ke VM yang mengaktifkan Login OS

Mengaktifkan Login OS dengan 2FA

Memecahkan masalah Login OS

Langkah berikutnya

Menyiapkan Login OS