Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Acerca del Acceso al SO

En esta página, se describe el servicio Acceso al SO y cómo funciona. Para obtener información sobre cómo configurar el Acceso al SO, consulta Configura el Acceso al SO.

Usa el Acceso al SO para administrar el acceso SSH a tus instancias con la IAM sin tener que crear y administrar claves SSH individuales. El Acceso al SO mantiene una identidad de usuario de Linux coherente en todas las instancias de Compute Engine y es la forma recomendada para administrar muchos usuarios en múltiples instancias o proyectos de procesamiento.

Beneficios del Acceso al SO

El Acceso al SO vincula tu cuenta de usuario de Linux con tu identidad de Google para simplificar la administración del acceso SSH. Los administradores pueden administrar con facilidad el acceso a las instancias, ya sea a nivel de instancia o de proyecto, mediante la configuración de los permisos de IAM.

Acceso al SO ofrece los siguientes beneficios:

Administración automática del ciclo de vida de la cuenta de Linux: puedes vincular directamente una cuenta de usuario de Linux con la identidad de Google de un usuario para que se use la misma información de cuenta de Linux en todas las instancias del mismo proyecto o de la misma organización.
Autorización detallada con Google IAM: Los administradores a nivel de proyecto y de instancia pueden usar IAM para otorgar acceso SSH a la identidad de Google de un usuario sin otorgar un conjunto más amplio de privilegios. Por ejemplo, puedes otorgar permisos de usuario para acceder al sistema, pero no la capacidad de ejecutar comandos como sudo. Google verifica estos permisos para determinar si un usuario puede acceder a una instancia de procesamiento.
Actualizaciones automáticas de permisos: con el Acceso al SO, los permisos se actualizan de forma automática cuando un administrador cambia los permisos de IAM. Por ejemplo, si quitas los permisos de IAM de una identidad de Google, se revocará el acceso a las instancias de procesamiento. Google verifica los permisos para cada intento de acceso a fin de evitar el acceso no deseado.
Capacidad para importar cuentas existentes de Linux: los administradores pueden optar por sincronizar la información de la cuenta de Linux desde Active Directory (AD) y Lightweight Directory Access Protocol (LDAP) que se configuran de forma local. Por ejemplo, puedes asegurarte de que los usuarios tengan el mismo ID de usuario (UID) en los entornos locales y de Cloud.
Integración en la verificación en dos pasos de la Cuenta de Google: De forma opcional, puedes exigir que los usuarios de Acceso al SO validen su identidad con la verificación en 2 pasos (2FA) cuando se conecten a instancias de procesamiento. Acceso al SO admite los siguientes tipos de desafíos:
- Autenticador de Google
- Verificación de mensaje de texto o llamada telefónica
- Mensajes telefónicos
- Contraseña de un solo uso (OTP) de la llave de seguridad
Compatibilidad con la autenticación basada en certificados: Puedes usar la autenticación con certificados SSH para conectarte a instancias de procesamiento que usan el Acceso al SO. Para obtener más información, consulta Cómo solicitar certificados SSH con el Acceso al SO.
Integración en el registro de auditoría: Acceso al SO proporciona registros de auditoría que puedes usar para supervisar las conexiones a las instancias de procesamiento de los usuarios de Acceso al SO.

Roles de IAM de Acceso al SO

El Acceso al SO usa IAM para autorizar el acceso de inicio de sesión. Puedes otorgar roles de IAM de Acceso al SO a nivel de la instancia, la carpeta o la organización. Acceso al SO proporciona los siguientes roles predefinidos:

roles/compute.osLogin: otorga acceso de inicio de sesión sin acceso de sudo a las instancias de procesamiento.
roles/compute.osAdminLogin: Otorga acceso de inicio de sesión con acceso de sudo a las instancias de procesamiento.

Si necesitas orientación para asignar roles de IAM de Acceso al SO, consulta Asigna roles de IAM de Acceso al SO.

Cómo funciona Acceso al SO

Cuando el acceso al SO está habilitado, Compute Engine realiza configuraciones en las instancias de procesamiento y las cuentas de Google de los usuarios de acceso al SO.

Configuración de la instancia de procesamiento

Cuando habilitas el Acceso al SO, la instancia de procesamiento recupera las claves SSH asociadas a la cuenta de usuario de Linux desde el servicio de Acceso al SO para autenticar un intento de acceso.

Puedes configurar un archivo authorized_keys para aprovisionar acceso a una cuenta de usuario local incluso cuando el Acceso al SO está habilitado. Las claves SSH públicas que se configuran en el archivo authorized_keys se usan para autenticar los intentos de acceso del usuario local. Las cuentas de usuario locales y los usuarios de Acceso al SO deben tener nombres de usuario y UIDs diferentes.

Para obtener más información sobre los componentes de Acceso al SO, consulta la página sobre acceso a SO de GitHub.

Configuración de la cuenta de usuario

El Acceso al SO configura tu Cuenta de Google con información POSIX, incluido un nombre de usuario, cuando realizas alguna de las siguientes acciones:

Conéctate a una instancia de procesamiento habilitada para el acceso al SO con la Google Cloud consola
Conéctate a una instancia de procesamiento habilitada para el Acceso al SO con la gcloud CLI
Importa una llave SSH pública con la CLI de gcloud
Importa una Llave SSH pública con la API de Acceso al SO

El Acceso a SO configura las cuentas POSIX con los siguientes valores:

Nombre de usuario: Un nombre de usuario en el formato USERNAME_DOMAIN_SUFFIX Si el usuario es de una organización de Google Workspace diferente a la que aloja sus instancias de procesamiento habilitadas para Acceso al SO, el nombre de usuario tendrá el prefijo ext_. Si el usuario es una cuenta de servicio, el nombre de usuario tiene el prefijo sa_. Los nombres de usuario no pueden tener más de 32 caracteres. Los nombres de usuario que superan los 32 caracteres se truncan.

Los administradores de Cloud Identity pueden modificar los nombres de usuario y los administradores avanzados de Google Workspace pueden cambiar el formato del nombre de usuario para quitar el sufijo de dominio.
UID: Es un ID de usuario único, que cumple con POSIX y generado de forma aleatoria.
GID: Es un ID de grupo que cumple con POSIX y que coincide con el UID.
Directorio principal:es la ruta de acceso al directorio principal del usuario.

Los administradores de la organización pueden configurar y actualizar la información de la cuenta POSIX de un usuario. Para obtener más información, consulta Modifica las cuentas de usuario mediante la API de Directory.

Limitaciones

El Acceso al SO no es compatible con todas las configuraciones de instancias de procesamiento. Para obtener más información, consulta Limitaciones del acceso al SO.

¿Qué sigue?

Para obtener instrucciones paso a paso, consulta una de las siguientes opciones:
- Configura el Acceso al SO.
- Configura el Acceso al SO con 2FA
Consulta esta página sobre cómo administrar el acceso a SO en una organización
Soluciona problemas de Acceso al SO.