In Compute Engine, puoi utilizzare OS Login per concedere agli utenti l'accesso alle VM e per limitarli con accesso sudo
. Se vuoi controllare quali utenti possono visualizzare o eseguire file ed eseguibili specifici nelle VM, puoi utilizzare i criteri del sistema operativo per implementare criteri che automatizzano e centralizzano la gestione dei file all'interno del tuo parco VM.
Questo tutorial mostra come concedere l'accesso in visualizzazione al file auth.log
(/var/log/auth.log
) su più VM a un gruppo di utenti che non hanno accesso a sudo
, utilizzando i gruppi di accesso OS Login e i criteri del sistema operativo.
Nella maggior parte delle configurazioni predefinite, le autorizzazioni dei file auth.log
sono impostate su 640
e il file è di proprietà del gruppo adm
. Un utente a cui non è stato concesso il ruolo IAM roles/compute.osAdminLogin
non fa parte del gruppo adm
, non dispone dell'accesso a sudo
e, di conseguenza, non ha accesso in lettura al file.
Sebbene questo tutorial sia incentrato sulla gestione delle autorizzazioni degli utenti per un file specifico, il flusso di lavoro può essere modificato e utilizzato per impostare le autorizzazioni su altri file o per le esecuzioni su una VM.
Obiettivi
In questo tutorial imparerai quanto segue:
- Come creare un gruppo OS Login Linux
- Come utilizzare un'assegnazione dei criteri del sistema operativo per modificare le autorizzazioni di gruppo di un file in più VM contemporaneamente
Costi
In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi basata sull'utilizzo previsto,
utilizza il Calcolatore prezzi.
Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.
I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.Prima di iniziare
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Installa o aggiorna alla versione più recente di Google Cloud CLI.
- Assicurati di essere un amministratore di gruppi Cloud Identity per la tua organizzazione. Se non sei un amministratore di Gruppi, chiedi all'amministratore di Gruppi della tua organizzazione di creare un gruppo Linux OS Login.
- Abilita VM Manager.
prepara l'ambiente
Prima di poter concedere l'accesso al file auth.log
, devi creare alcune VM.
Crea tre VM utilizzando il comando gcloud compute instances bulk create
:
gcloud compute instances bulk create \ --name-pattern=tutorial-# \ --zone=us-west1-a \ --count=3 \ --labels=vm=tutorial \ --metadata=enable-oslogin=TRUE
Viene visualizzato un messaggio simile al seguente:
`Bulk create request finished with status message: [VM instances created: 3, failed: 0.]`
Imposta le autorizzazioni di gruppo per il file auth.log
Per concedere a un utente l'accesso in lettura al file auth.log
senza concedergli il ruolo IAM roles/compute.osAdminLogin
, cambia il gruppo proprietario del file in un gruppo Linux di cui l'utente è membro.
Crea un gruppo OS Login Linux
Puoi creare un gruppo OS Login Linux per aggiungere un gruppo Linux supplementare da visualizzare su ogni VM in cui è abilitato OS Login. Creando un gruppo Linux OS Login anziché un gruppo Linux supplementare locale, puoi controllare il gruppo Linux su tutte le VM in modo unificato.
Per creare un gruppo OS Login Linux, utilizza il comando gcloud beta identity groups create
:
gcloud beta identity groups create logaccess@ORGANIZATION_DOMAIN \ --organization=ORGANIZATION_DOMAIN \ --posix-group=gid=12345,name=logaccess
Sostituisci ORGANIZATION_DOMAIN
con il dominio
(example.com
) associato alla tua organizzazione.
Crea un'assegnazione dei criteri del sistema operativo
Puoi utilizzare i criteri del sistema operativo per automatizzare e centralizzare la configurazione delle VM. Puoi applicare i criteri del sistema operativo alle VM utilizzando le assegnazioni dei criteri. Se crei un'assegnazione dei criteri di sistema operativo con un criterio di sistema operativo che modifica il gruppo predefinito del file auth.log
, puoi modificare il gruppo predefinito del file auth.log
in più VM contemporaneamente, anziché applicare la modifica a una VM alla volta.
Per creare un'assegnazione dei criteri del sistema operativo:
Apri un terminale sulla workstation.
Crea un file
.yaml
di assegnazione dei criteri del sistema operativo eseguendo questo comando:touch tutorial-os-policy-assignment.yaml
Apri il file
tutorial-os-policy-assignment.yaml
in un editor di testo e aggiungi le seguenti specifiche:
Applica l'assegnazione dei criteri del sistema operativo alle VM
Per applicare l'assegnazione dei criteri del sistema operativo alle VM:
Applica il criterio del sistema operativo utilizzando il comando
gcloud compute os-config os-policy-assignments create
:gcloud compute os-config os-policy-assignments create log-access-assignment \ --location=us-west1-a \ --file=log-access-os-policy-assignment.yaml \ --async
L'assegnazione dei criteri del sistema operativo viene implementata nelle VM in base alle specifiche dell'implementazione indicate nel file
tutorial-os-policy-assignment.yaml
.Verifica che l'assegnazione dei criteri del sistema operativo sia stata implementata correttamente nelle VM e che l'assegnazione dei criteri del sistema operativo abbia aggiornato correttamente il gruppo predefinito utilizzando il comando
gcloud compute os-config os-policy-assignment-reports list
:gcloud compute os-config os-policy-assignment-reports list --location=us-west1-a
Aggiunta di utenti al gruppo OS Login Linux
Un utente aggiunto a un gruppo Linux OS Login eredita le autorizzazioni del gruppo in tutte le VM in cui è abilitato OS Login.
Per questo tutorial, qualsiasi utente che aggiungi al gruppo logaccess
può visualizzare il file auth.log
senza il ruolo IAM roles/compute.osAdminLogin
.
Visualizza la documentazione di assistenza di Cloud Identity per scoprire come aggiungere un utente al gruppo logaccess
.
Esegui la pulizia
Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Elimina il progetto
- Nella console Google Cloud, vai alla pagina Gestisci risorse.
- Nell'elenco dei progetti, seleziona il progetto che vuoi eliminare, quindi fai clic su Elimina.
- Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.
Elimina singole risorse
Elimina le VM che hai creato utilizzando il comando gcloud compute instances delete
:
gcloud compute instances delete tutorial-1 tutorial-2 tutorial-3 \ --zone=us-west1-a
Passaggi successivi
- Scopri di più su OS Login
- Scopri di più su VM Manager
- Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Visita il nostro Cloud Architecture Center.