Tentang Login OS

Halaman ini menjelaskan layanan Login OS dan cara kerjanya. Untuk mempelajari cara menyiapkan Login OS, lihat Menyiapkan Login OS.

Gunakan Login OS untuk mengelola akses SSH ke instance Anda menggunakan IAM tanpa harus membuat dan mengelola kunci SSH satu per satu. Login OS mempertahankan identitas pengguna Linux yang konsisten di seluruh instance Compute Engine dan merupakan cara yang direkomendasikan untuk mengelola banyak pengguna di beberapa instance atau project komputasi.

Manfaat Login OS

Login OS menyederhanakan pengelolaan akses SSH dengan menautkan akun pengguna Linux ke identitas Google Anda. Administrator dapat dengan mudah mengelola akses ke instance, baik pada level instance maupun project dengan menetapkan izin IAM.

Login OS memberikan manfaat berikut:

  • Pengelolaan siklus proses akun Linux otomatis - Anda dapat langsung mengaitkan akun pengguna Linux ke identitas Google pengguna, sehingga informasi akun Linux yang sama digunakan di semua instance dalam project atau organisasi yang sama.

  • Otorisasi terperinci menggunakan Google IAM - Administrator level project dan instance dapat menggunakan IAM untuk memberikan akses SSH ke identitas Google pengguna tanpa memberikan serangkaian hak istimewa yang lebih luas. Misalnya, Anda dapat memberikan izin kepada pengguna untuk login ke sistem, tetapi tidak memberikan kemampuan untuk menjalankan perintah seperti sudo. Google akan memeriksa izin ini untuk menentukan apakah pengguna dapat login ke instance komputasi atau tidak.

  • Pembaruan izin otomatis - Dengan Login OS, izin akan diperbarui secara otomatis saat administrator mengubah izin IAM. Misalnya, jika Anda menghapus izin IAM dari identitas Google, akses ke instance komputasi akan dicabut. Google memeriksa izin setiap upaya login untuk mencegah akses yang tidak diinginkan.

  • Kemampuan untuk mengimpor akun Linux yang ada - Administrator dapat memilih untuk secara opsional menyinkronkan informasi akun Linux dari Active Directory (AD) dan Lightweight Directory Access Protocol (LDAP) yang disiapkan secara lokal. Misalnya, Anda dapat memastikan bahwa pengguna memiliki ID pengguna (UID) yang sama di lingkungan Cloud dan lokal.

  • Integrasi dengan verifikasi dua langkah Akun Google - Anda dapat secara opsional mewajibkan pengguna Login OS untuk memvalidasi identitas mereka menggunakan verifikasi 2 langkah (2FA) saat terhubung ke instance komputasi. Login OS mendukung jenis tantangan berikut:

  • Dukungan untuk autentikasi berbasis sertifikat - Anda dapat menggunakan autentikasi sertifikat SSH untuk terhubung ke instance komputasi yang menggunakan Login OS. Untuk mengetahui informasi selengkapnya, lihat Mewajibkan sertifikat SSH dengan Login OS.

  • Integrasi dengan log audit - Login OS menyediakan log audit yang dapat Anda gunakan untuk memantau koneksi ke instance Compute bagi pengguna Login OS.

Peran IAM Login OS

Login OS menggunakan IAM untuk mengizinkan akses login. Anda dapat memberikan peran IAM Login OS di tingkat instance, folder, atau organisasi. Login OS menyediakan peran bawaan berikut:

  • roles/compute.osLogin: memberikan akses login tanpa akses sudo ke instance komputasi.
  • roles/compute.osAdminLogin: memberikan akses login dengan akses sudo ke instance komputasi.

Untuk mendapatkan panduan tentang cara menetapkan peran IAM Login OS, lihat Menetapkan peran IAM Login OS.

Cara kerja Login OS

Saat Login OS diaktifkan, Compute Engine akan melakukan konfigurasi pada instance komputasi dan Akun Google pengguna Login OS.

Konfigurasi instance komputasi

Saat Anda mengaktifkan Login OS, instance komputasi akan mengambil kunci SSH yang terkait dengan akun pengguna Linux dari layanan Login OS untuk mengautentikasi upaya login.

Anda dapat mengonfigurasi file authorized_keys untuk menyediakan akses bagi akun pengguna lokal meskipun Login OS diaktifkan. Kunci publik SSH yang dikonfigurasi di file authorized_keys digunakan untuk mengautentikasi upaya login pengguna oleh pengguna lokal. Akun pengguna lokal dan pengguna Login OS harus memiliki nama pengguna dan UID yang berbeda.

Untuk mengetahui informasi selengkapnya tentang komponen Login OS, tinjau halaman GitHub Login OS.

Konfigurasi akun pengguna

Login OS akan mengonfigurasi Akun Google Anda dengan informasi POSIX, termasuk nama pengguna, saat Anda melakukan salah satu tindakan berikut:

  • Menghubungkan ke instance komputasi yang mendukung Login OS menggunakan konsol Google Cloud
  • Menghubungkan ke instance komputasi yang mendukung Login OS menggunakan gcloud CLI
  • Mengimpor kunci SSH publik menggunakan gcloud CLI
  • Mengimpor kunci SSH publik menggunakan OS Login API

Login OS mengonfigurasi akun POSIX dengan nilai berikut:

  • Nama pengguna: nama pengguna dalam format USERNAME_DOMAIN_SUFFIX. Jika pengguna berasal dari organisasi Google Workspace yang berbeda dengan organisasi yang menghosting instance komputasi yang mengaktifkan Login OS, nama penggunanya akan diberi awalan ext_. Jika pengguna adalah akun layanan, nama penggunanya akan diawali dengan sa_. Nama pengguna tidak boleh melebihi 32 karakter. Nama pengguna yang melebihi 32 karakter akan dipotong.

    Administrator Cloud Identity dapat mengubah nama pengguna dan administrator super Google Workspace dapat mengubah format nama pengguna untuk menghapus akhiran domain.

  • UID: ID pengguna unik yang sesuai dengan POSIX dan dibuat secara acak.

  • GID: ID grup yang sesuai dengan POSIX dan cocok dengan UID.

  • Home directory: jalur ke direktori utama pengguna.

Administrator organisasi dapat mengonfigurasi dan memperbarui informasi akun POSIX pengguna. Untuk informasi selengkapnya, lihat Mengubah akun pengguna menggunakan Directory API.

Batasan

Login OS tidak didukung di semua konfigurasi instance komputasi. Untuk mengetahui informasi selengkapnya, lihat Batasan Login OS.

Langkah berikutnya