Cette page a été traduite par l'API Cloud Translation.

Activer et configurer OS Login dans GKE

Standard

Cette page explique comment activer OS Login et configurer une règle d'administration afin d'appliquer OS Login pour les clusters et les nœuds du mode GKE Standard. Vous pouvez utiliser OS Login pour gérer l'accès SSH à vos instances à l'aide d'IAM, sans avoir à créer ni gérer de clés SSH individuelles.

OS Login n'est pas disponible pour les clusters GKE en mode Autopilot, car GKE gère les nœuds.

Cette page s'adresse aux spécialistes de la sécurité qui souhaitent ajouter des règles OS Login sur les clusters GKE Standard pour s'assurer que toutes les instances de VM sont compatibles avec OS Login par défaut. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez Rôles utilisateur et tâches courantes de GKE.

Avant de lire cette page, assurez-vous de bien connaître la présentation générale de la connexion OS.

Présentation

Vous pouvez configurer une contrainte OS Login au sein de votre organisation afin que tous les nouveaux projets et les instances de VM créées dans ces nouveaux projets soient activés. OS Login est rapidement devenue une bonne pratique de sécuritéGoogle Cloud . Nous vous recommandons son utilisation via des règles d'administration.

Les instructions suivantes expliquent comment activer OS Login à l'aide de règles d'administration dans GKE.

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

Activez l'API Google Kubernetes Engine.

Activer l'API Google Kubernetes Engine

Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI. Si vous avez déjà installé la gcloud CLI, obtenez la dernière version en exécutant la commande gcloud components update. Il est possible que les versions antérieures de gcloud CLI ne permettent pas d'exécuter les commandes de ce document.
Remarque : Pour les installations de la gcloud CLI existantes, veillez à définir la propriété compute/region. Si vous utilisez principalement des clusters zonaux, définissez plutôt compute/zone. En définissant un emplacement par défaut, vous pouvez éviter les erreurs gcloud CLI de ce type : One of [--zone, --region] must be supplied: Please specify location. Vous devrez peut-être spécifier l'emplacement dans certaines commandes si celui de votre cluster diffère de l'emplacement par défaut que vous avez défini.

Mettre à jour des projets existants pour utiliser OS Login

Avant de définir les règles d'administration, migrez tous les clusters existants pour qu'ils utilisent OS Login.

Activez OS Login sur toutes les instances de VM existantes et nouvelles en définissant par défaut l'option enable-oslogin sur TRUE. Vous n'avez pas besoin de redémarrer le nœud.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Attention : L'activation d'OS Login sur les instances désactive les configurations de clés SSH basées sur les métadonnées dans ces instances. La désactivation d'OS Login restaure les clés SSH que vous avez configurées dans les métadonnées du projet ou de l'instance.

Définir les règles d'administration d'OS Login

Pour définir la contrainte OS Login au niveau de l'organisation, procédez comme suit :

Pour rechercher l'ID de votre organisation, exécutez la commande suivante :
```
gcloud organizations list
```

Définissez les règles d'administration d'OS Login. Remplacez ORGANIZATION_ID par votre ID d'organisation.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Une fois les règles d'administration définies, les conditions suivantes sont appliquées :

enable-oslogin est défini sur true dans les métadonnées du projet pour tous les nouveaux projets.
Les demandes de mise à jour pour définir enable-oslogin sur false dans les métadonnées d'instance ou de projet sont rejetées.

Gérer l'accès aux nœuds

Une fois que vous avez activé la règle d'administration d'OS Login, vous n'avez plus besoin de gérer les clés SSH pour prendre des décisions d'autorisation. OS Login déplace la gestion des autorisations vers Identity and Access Management. Pour gérer l'accès SSH aux nœuds, utilisez OS Login. Pour en savoir plus, consultez la page Configurer OS Login.

Étape suivante

Découvrez le service OS Login.
Découvrez comment résoudre les problèmes liés à OS Login.