Связаться с намиПодключиться

Подключиться к виртуальной машине по OS Login

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

OS Login используется для предоставления пользователям и сервисным аккаунтам доступа к виртуальным машинам, полагаясь только на механизмы сервиса Yandex Identity and Access Management, без необходимости загружать SSH-ключи на каждую новую ВМ при ее создании.

Перед началом работы

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

При необходимости создайте новую виртуальную машину с поддержкой OS Login или настройте доступ по OS Login для существующей ВМ.

Примечание

Для подключения к виртуальной машине или узлу Kubernetes с включенным доступом по OS Login пользователю или сервисному аккаунту, от имени которого выполняется подключение, должна быть назначена роль compute.osLogin или compute.osAdminLogin. При подключении с помощью Yandex Cloud CLI дополнительно необходима роль compute.operator.

Подключиться с помощью стандартного SSH-клиента

Подключиться к виртуальной машине с включенным доступом по OS Login можно с помощью стандартного SSH-клиента как по SSH-ключу, сохраненному в профиле OS Login пользователя или сервисного аккаунта в организации, так и по короткоживущему экспортированному SSH-сертификату этого пользователя или сервисного аккаунта.

Чтобы подключиться к ВМ через OS Login по SSH-ключу с помощью стандартного SSH-клиента:

  1. Включите доступ по OS Login на уровне организации.

    Чтобы подключиться к ВМ по OS Login с SSH-ключом, включите опцию Доступ по OS Login при помощи SSH-ключей.

    Чтобы пользователи могли самостоятельно добавлять SSH-ключи в свои профили OS Login, включите опцию Разрешить членам организации управлять своими SSH-ключами.

  2. Создайте пару SSH-ключей и добавьте публичный ключ в профиль OS Login пользователя или сервисного аккаунта. Запомните расположение закрытого SSH-ключа, оно понадобится при подключении к ВМ.

  3. Получите идентификатор организации, в которой находится нужный профиль OS Login пользователя или сервисного аккаунта:

    yc organization-manager organization list

    Результат:

    +----------------------+-------------------------+-------------------------+
|          ID          |          NAME           |          TITLE          |
+----------------------+-------------------------+-------------------------+
| bpf1smsil5q0******** | sample-organization1    | Organization 1          |
| bpf2c65rqcl8******** | sample-organization2    | Organization 2          |
| bpf6dne49ue8******** | sample-organization3    | Organization 3          |
+----------------------+-------------------------+-------------------------+

  4. Получите список логинов в профилях OS Login пользователей и сервисных аккаунтов нужной организации, указав ее идентификатор:

    yc organization-manager os-login profile list \
  --organization-id <идентификатор_организации>

    Результат:

    +----------------------+----------------------+-----------+----------------------+----------------------+------------+
|          ID          |        LOGIN         |    UID    |   ORGANIZATION ID    |      SUBJECT ID      | IS DEFAULT |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+
| aje1eb5qm7jb******** | yc-sa-my-service-acc | 487816044 | bpfaidqca8vd******** | ajevnu4u2q3m******** | true       |
| ajegs81t2k9s******** | user1                | 760684761 | bpfaidqca8vd******** | aje7b4u65nb6******** | true       |
| ajej57b2kf0t******** | user2                |      1011 | bpfaidqca8vd******** | ajei280a73vc******** | true       |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+

    Сохраните значение поля LOGIN для нужного пользователя или сервисного аккаунта — оно понадобится позднее.

    Примечание

    Минимально необходимая роль, позволяющая просматривать список профилей OS Login пользователей — роль organization-manager.osLogins.viewer, назначенная на организацию. Информацию о других ролях, позволяющих просматривать список профилей OS Login, см. в разделе Управление доступом в Yandex Identity Hub.

  5. Получите список всех ВМ в каталоге по умолчанию:

    yc compute instance list

    Результат:

    +----------------------+-----------------+---------------+---------+---------------+--------------+
|          ID          |       NAME      |    ZONE ID    | STATUS  |  EXTERNAL IP  | INTERNAL IP  |
+----------------------+-----------------+---------------+---------+---------------+--------------+
| fhm0b28lgf********** | first-instance  | kz1-a | RUNNING | 158.160.**.** | 192.168.0.8  |
| fhm9gk85nj********** | second-instance | kz1-a | RUNNING | 51.250.**.*** | 192.168.0.12 |
+----------------------+-----------------+---------------+---------+---------------+--------------+

    Сохраните публичный IP-адрес (значение поля EXTERNAL IP) виртуальной машины, к которой вы хотите подключиться.

  6. Подключитесь к ВМ:

    ssh -i <путь_к_файлу_закрытого-SSH-ключа> \
  -l <логин_пользователя_или_сервисного_аккаунта> <публичный_IP-адрес_ВМ>

    Где:

    • <путь_к_файлу_закрытого-SSH-ключа> — путь к файлу, в котором сохранен закрытый SSH-ключ. Например: /home/user1/.ssh/id_ed25519.
    • <логин_пользователя_или_сервисного_аккаунта> — полученный ранее логин пользователя или сервисного аккаунта, заданный в профиле OS Login.
    • <публичный_IP-адрес_ВМ> — сохраненный ранее публичный адрес виртуальной машины.

    При первом подключении к ВМ появится предупреждение о неизвестном хосте:

    The authenticity of host '158.160.**.** (158.160.**.**)' can't be established.
ECDSA key fingerprint is SHA256:PoaSwqxRc8g6iOXtiH7ayGHpSN0MXwUfWHk********.
Are you sure you want to continue connecting (yes/no)?

    В терминале введите слово yes и нажмите Enter.

Чтобы подключиться к ВМ через OS Login по SSH-сертификату с помощью стандартного SSH-клиента:

  1. Включите доступ по OS Login на уровне организации.

    Чтобы подключиться к ВМ по OS Login с SSH-сертификатом, включите опцию Доступ по OS Login при помощи SSH-сертификатов (рекомендуется).

  2. Экспортируйте SSH-сертификат на локальный компьютер.

  3. Получите идентификатор организации, в которой находится нужный профиль OS Login пользователя или сервисного аккаунта:

    yc organization-manager organization list

    Результат:

    +----------------------+-------------------------+-------------------------+
|          ID          |          NAME           |          TITLE          |
+----------------------+-------------------------+-------------------------+
| bpf1smsil5q0******** | sample-organization1    | Organization 1          |
| bpf2c65rqcl8******** | sample-organization2    | Organization 2          |
| bpf6dne49ue8******** | sample-organization3    | Organization 3          |
+----------------------+-------------------------+-------------------------+

  4. Получите список логинов в профилях OS Login пользователей и сервисных аккаунтов нужной организации, указав ее идентификатор:

    yc organization-manager os-login profile list \
  --organization-id <идентификатор_организации>

    Результат:

    +----------------------+----------------------+-----------+----------------------+----------------------+------------+
|          ID          |        LOGIN         |    UID    |   ORGANIZATION ID    |      SUBJECT ID      | IS DEFAULT |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+
| aje1eb5qm7jb******** | yc-sa-my-service-acc | 487816044 | bpfaidqca8vd******** | ajevnu4u2q3m******** | true       |
| ajegs81t2k9s******** | user1                | 760684761 | bpfaidqca8vd******** | aje7b4u65nb6******** | true       |
| ajej57b2kf0t******** | user2                |      1011 | bpfaidqca8vd******** | ajei280a73vc******** | true       |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+

    Сохраните значение поля LOGIN для нужного пользователя или сервисного аккаунта — оно понадобится позднее.

    Примечание

    Минимально необходимая роль, позволяющая просматривать список профилей OS Login пользователей — роль organization-manager.osLogins.viewer, назначенная на организацию. Информацию о других ролях, позволяющих просматривать список профилей OS Login, см. в разделе Управление доступом в Yandex Identity Hub.

  5. Получите список всех ВМ в каталоге по умолчанию:

    yc compute instance list

    Результат:

    +----------------------+-----------------+---------------+---------+---------------+--------------+
|          ID          |       NAME      |    ZONE ID    | STATUS  |  EXTERNAL IP  | INTERNAL IP  |
+----------------------+-----------------+---------------+---------+---------------+--------------+
| fhm0b28lgf********** | first-instance  | kz1-a | RUNNING | 158.160.**.** | 192.168.0.8  |
| fhm9gk85nj********** | second-instance | kz1-a | RUNNING | 51.250.**.*** | 192.168.0.12 |
+----------------------+-----------------+---------------+---------+---------------+--------------+

    Сохраните публичный IP-адрес (значение поля EXTERNAL IP) виртуальной машины, к которой вы хотите подключиться.

  6. Подключитесь к ВМ:

    ssh -i <путь_к_файлу_сертификата> \
  -l <логин_пользователя_или_сервисного_аккаунта> <публичный_IP-адрес_ВМ>

    Где:

    • <путь_к_файлу_сертификата> — путь к экспортированному ранее файлу Identity сертификата. Например: /home/user1/.ssh/yc-cloud-id-b1gia87mbaom********-orgusername.
    • <логин_пользователя_или_сервисного_аккаунта> — полученный ранее логин пользователя или сервисного аккаунта, заданный в профиле OS Login.
    • <публичный_IP-адрес_ВМ> — сохраненный ранее публичный адрес виртуальной машины.

    Команду для подключения к ВМ вы также можете посмотреть в консоли управления на странице Обзор нужной ВМ в блоке Доступ: раскройте секцию Подключиться с помощью SSH-клиента и выберите вкладку По сертификату.

    При первом подключении к ВМ появится предупреждение о неизвестном хосте:

    The authenticity of host '158.160.**.** (158.160.**.**)' can't be established.
ECDSA key fingerprint is SHA256:PoaSwqxRc8g6iOXtiH7ayGHpSN0MXwUfWHk********.
Are you sure you want to continue connecting (yes/no)?

    В терминале введите слово yes и нажмите Enter.

Примечание

Сертификат действителен один час. По истечении этого времени для подключения к ВМ необходимо экспортировать новый сертификат.

Произойдет подключение к указанной виртуальной машине. Если это ваше первое подключение, в операционной системе ВМ будет создан новый профиль пользователя.

Подключиться с помощью Yandex Cloud CLI

Подключиться к виртуальной машине с включенным доступом по OS Login можно с помощью Yandex Cloud CLI как по SSH-ключу, сохраненному в профиле пользователя или сервисного аккаунта в организации, так и по SSH-сертификату этого пользователя или сервисного аккаунта.

Чтобы подключиться к ВМ через OS Login по SSH-ключу с помощью Yandex Cloud CLI:

  1. Включите доступ по OS Login на уровне организации.

    Чтобы подключиться к ВМ по OS Login с SSH-ключом, включите опцию Доступ по OS Login при помощи SSH-ключей.

    Чтобы пользователи могли самостоятельно добавлять SSH-ключи в свои профили OS Login, включите опцию Разрешить членам организации управлять своими SSH-ключами.

  2. Создайте пару SSH-ключей и добавьте публичный ключ в профиль OS Login пользователя или сервисного аккаунта. Запомните расположение закрытого SSH-ключа, оно понадобится при подключении к ВМ.

  3. Посмотрите описание команды CLI для подключения к ВМ:

    yc compute ssh --help

  4. Получите идентификатор организации, в которой находится нужный профиль OS Login пользователя или сервисного аккаунта:

    yc organization-manager organization list

    Результат:

    +----------------------+-------------------------+-------------------------+
|          ID          |          NAME           |          TITLE          |
+----------------------+-------------------------+-------------------------+
| bpf1smsil5q0******** | sample-organization1    | Organization 1          |
| bpf2c65rqcl8******** | sample-organization2    | Organization 2          |
| bpf6dne49ue8******** | sample-organization3    | Organization 3          |
+----------------------+-------------------------+-------------------------+

  5. Получите список логинов в профилях OS Login пользователей и сервисных аккаунтов нужной организации, указав ее идентификатор:

    yc organization-manager os-login profile list \
  --organization-id <идентификатор_организации>

    Результат:

    +----------------------+----------------------+-----------+----------------------+----------------------+------------+
|          ID          |        LOGIN         |    UID    |   ORGANIZATION ID    |      SUBJECT ID      | IS DEFAULT |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+
| aje1eb5qm7jb******** | yc-sa-my-service-acc | 487816044 | bpfaidqca8vd******** | ajevnu4u2q3m******** | true       |
| ajegs81t2k9s******** | user1                | 760684761 | bpfaidqca8vd******** | aje7b4u65nb6******** | true       |
| ajej57b2kf0t******** | user2                |      1011 | bpfaidqca8vd******** | ajei280a73vc******** | true       |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+

    Сохраните значение поля LOGIN для нужного пользователя или сервисного аккаунта — оно понадобится позднее.

    Примечание

    Минимально необходимая роль, позволяющая просматривать список профилей OS Login пользователей — роль organization-manager.osLogins.viewer, назначенная на организацию. Информацию о других ролях, позволяющих просматривать список профилей OS Login, см. в разделе Управление доступом в Yandex Identity Hub.

  6. Получите список всех ВМ в каталоге по умолчанию:

    yc compute instance list

    Результат:

    +----------------------+-----------------+---------------+---------+---------------+--------------+
|          ID          |       NAME      |    ZONE ID    | STATUS  |  EXTERNAL IP  | INTERNAL IP  |
+----------------------+-----------------+---------------+---------+---------------+--------------+
| fhm0b28lgf********** | first-instance  | kz1-a | RUNNING | 158.160.**.** | 192.168.0.8  |
| fhm9gk85nj********** | second-instance | kz1-a | RUNNING | 51.250.**.*** | 192.168.0.12 |
+----------------------+-----------------+---------------+---------+---------------+--------------+

  7. Подключитесь к ВМ:

    yc compute ssh \
  --name <имя_ВМ> \
  --identity-file <путь_к_файлу_закрытого_SSH_ключа> \
  --login <логин_пользователя_или_сервисного_аккаунта> \
  --internal-address

    Где:

    • --name — полученное ранее имя виртуальной машины. Вместо имени ВМ можно указать ее идентификатор, для этого используйте параметр --id.
    • --identity-file — путь к файлу закрытого SSH-ключа. Например: /home/user1/.ssh/id_ed25519.
    • --login — полученный ранее логин пользователя или сервисного аккаунта, заданный в профиле OS Login. Необязательный параметр. Если параметр не задан, для подключения будет использован логин, который указан в профиле OS Login по умолчанию для пользователя или сервисного аккаунта, авторизованного в текущий момент в профиле Yandex Cloud CLI.
    • --internal-address — для подключения по внутреннему IP-адресу. Необязательный параметр.

    Команду для подключения к ВМ вы также можете посмотреть в консоли управления на странице Обзор нужной ВМ в блоке Подключение к виртуальной машине: раскройте секцию Подключиться с помощью CLI-интерфейса Yandex Cloud и выберите вкладку По SSH-ключу.

Чтобы подключиться к ВМ через OS Login по SSH-сертификату с помощью Yandex Cloud CLI:

  1. Включите доступ по OS Login на уровне организации.

    Чтобы подключиться к ВМ по OS Login с SSH-сертификатом, включите опцию Доступ по OS Login при помощи SSH-сертификатов (рекомендуется).

  2. Посмотрите описание команды CLI для подключения к ВМ:

    yc compute ssh --help

  3. Получите идентификатор организации, в которой находится нужный профиль OS Login пользователя или сервисного аккаунта:

    yc organization-manager organization list

    Результат:

    +----------------------+-------------------------+-------------------------+
|          ID          |          NAME           |          TITLE          |
+----------------------+-------------------------+-------------------------+
| bpf1smsil5q0******** | sample-organization1    | Organization 1          |
| bpf2c65rqcl8******** | sample-organization2    | Organization 2          |
| bpf6dne49ue8******** | sample-organization3    | Organization 3          |
+----------------------+-------------------------+-------------------------+

  4. Получите список логинов в профилях OS Login пользователей и сервисных аккаунтов нужной организации, указав ее идентификатор:

    yc organization-manager os-login profile list \
  --organization-id <идентификатор_организации>

    Результат:

    +----------------------+----------------------+-----------+----------------------+----------------------+------------+
|          ID          |        LOGIN         |    UID    |   ORGANIZATION ID    |      SUBJECT ID      | IS DEFAULT |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+
| aje1eb5qm7jb******** | yc-sa-my-service-acc | 487816044 | bpfaidqca8vd******** | ajevnu4u2q3m******** | true       |
| ajegs81t2k9s******** | user1                | 760684761 | bpfaidqca8vd******** | aje7b4u65nb6******** | true       |
| ajej57b2kf0t******** | user2                |      1011 | bpfaidqca8vd******** | ajei280a73vc******** | true       |
+----------------------+----------------------+-----------+----------------------+----------------------+------------+

    Сохраните значение поля LOGIN для нужного пользователя или сервисного аккаунта — оно понадобится позднее.

    Примечание

    Минимально необходимая роль, позволяющая просматривать список профилей OS Login пользователей — роль organization-manager.osLogins.viewer, назначенная на организацию. Информацию о других ролях, позволяющих просматривать список профилей OS Login, см. в разделе Управление доступом в Yandex Identity Hub.

  5. Получите список всех ВМ в каталоге по умолчанию:

    yc compute instance list

    Результат:

    +----------------------+-----------------+---------------+---------+---------------+--------------+
|          ID          |       NAME      |    ZONE ID    | STATUS  |  EXTERNAL IP  | INTERNAL IP  |
+----------------------+-----------------+---------------+---------+---------------+--------------+
| fhm0b28lgf********** | first-instance  | kz1-a | RUNNING | 158.160.**.** | 192.168.0.8  |
| fhm9gk85nj********** | second-instance | kz1-a | RUNNING | 51.250.**.*** | 192.168.0.12 |
+----------------------+-----------------+---------------+---------+---------------+--------------+

  6. Подключитесь к ВМ:

    yc compute ssh \
  --name <имя_ВМ>
  --login <логин_пользователя_или_сервисного_аккаунта>
  --internal-address

    Где:

    • --name — полученное ранее имя виртуальной машины. Вместо имени ВМ можно указать ее идентификатор, для этого используйте параметр --id.
    • --login — полученный ранее логин пользователя или сервисного аккаунта, заданный в профиле OS Login. Необязательный параметр. Если параметр не задан, для подключения будет использован SSH-сертификат пользователя или сервисного аккаунта, авторизованного в текущий момент в профиле Yandex Cloud CLI.
    • --internal-address — для подключения по внутреннему IP-адресу. Необязательный параметр.

    Команду для подключения к ВМ вы также можете посмотреть в консоли управления на странице Обзор нужной ВМ в блоке Доступ: раскройте секцию Подключиться с помощью CLI Yandex Cloud и выберите вкладку По сертификату.

Произойдет подключение к указанной виртуальной машине. Если это ваше первое подключение, в операционной системе ВМ будет создан новый профиль пользователя.

См. также

Предыдущая
Экспортировать SSH-сертификат
Следующая
Работа с Yandex Cloud изнутри ВМ