Esta página foi traduzida pela API Cloud Translation.

Ativar e configurar o Login do SO no GKE

Standard

Nesta página, explicamos como ativar o Login do SO e configurar uma política da organização para aplicá-lo a clusters e nós do modo GKE Standard. Você pode usar o Login do SO para gerenciar o acesso SSH às instâncias usando o IAM sem ter que criar e gerenciar chaves SSH individuais.

O Login do SO não está disponível para clusters do modo Autopilot do GKE porque o GKE gerencia os nós.

Esta página é para especialistas em segurança que querem adicionar políticas de Login do SO em clusters do GKE Standard para garantir que todas as instâncias de VM tenham o Login do SO por padrão. Para saber mais sobre papéis comuns e exemplos de tarefas que mencionamos no conteúdo do Google Cloud , consulte Tarefas e funções de usuário comuns do GKE.

Antes de ler esta página, familiarize-se com a visão geral do OS Login.

Visão geral

Configure uma restrição de Login do SO na organização para garantir que todos os novos projetos e as instâncias de VM criadas neles tenham esse recurso ativado. O Login do SO se tornou rapidamente uma Google Cloud prática recomendada de segurança, recomendando a aplicação do uso por meio de uma política da organização.

Nas instruções a seguir, detalhamos como ativar o Login do SO usando uma política da organização no GKE.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

Ativar a API Google Kubernetes Engine.

Ativar a API Google Kubernetes Engine

Se você quiser usar a CLI do Google Cloud para essa tarefa, instale e inicialize a gcloud CLI. Se você instalou a CLI gcloud anteriormente, instale a versão mais recente executando o comando gcloud components update. Talvez as versões anteriores da CLI gcloud não sejam compatíveis com a execução dos comandos neste documento.
Observação: em instalações prévias da gcloud CLI, defina a propriedade compute/region. Se você usa principalmente clusters zonais, defina compute/zone. Ao definir um local padrão, é possível evitar erros na gcloud CLI como: One of [--zone, --region] must be supplied: Please specify location. Talvez seja necessário especificar o local em determinados comandos se o local do cluster for diferente do padrão definido.

Atualizar projetos existentes para usar o login do SO

Antes de definir a política da organização, migre todos os clusters atuais para usar o login do SO.

Ative o Login do SO em todas as instâncias de VM atuais e novas por padrão definindo a sinalização enable-oslogin como TRUE. Não é necessário reinicializar o nó.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Cuidado: a ativação do Login do SO nas instâncias desativa nelas as configurações de chave SSH com base em metadados. A desativação do login do SO restaura as chaves SSH configuradas nos metadados do projeto ou da instância.

Definir a política da organização de Login do SO

Para definir a restrição de Login do SO no nível da organização, execute o seguinte:

Encontre o código da sua organização executando o seguinte comando:
```
gcloud organizations list
```

Definir a política da organização de Login do SO. Substitua ORGANIZATION_ID pelo ID da organização.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Depois que a política da organização for definida, as seguintes condições serão aplicadas:

enable-oslogin é definido como true nos metadados do projeto para todos os novos projetos.
As solicitações de atualização para definir enable-oslogin como false nos metadados da instância ou do projeto são rejeitadas.

Gerenciar o acesso ao nó

Depois de ativar a política da organização de Login do SO, não será mais necessário gerenciar chaves SSH para tomar decisões de autorização. O Login do SO move o gerenciamento de autorização para o gerenciamento de identidade e acesso. Para gerenciar o acesso SSH aos nós, use o Login do SO. Para mais detalhes, consulte Como configurar o Login do SO.

A seguir

Saiba mais sobre o serviço de Login do SO.
Saiba como resolver problemas de login do SO.