Включить доступ по OS Login
Доступ по OS Login позволяет подключаться к ВМ и узлам кластеров Kubernetes c SSH-ключом или SSH-сертификатом через YC CLI или через стандартный SSH-клиент. При подключении с SSH-ключом публичный SSH-ключ необходимо предварительно добавить в профиль пользователя организации в Yandex Cloud Organization.
Чтобы создавать виртуальные машины или узлы Kubernetes с доступом по OS Login, разрешите такую возможность на уровне организации. После этого вы сможете включить доступ по OS Login на ВМ, созданных из подготовленного образа с поддержкой OS Login, или самостоятельно настроить агента OS Login на уже работающей ВМ. Подробнее про подключение по OS Login см. в разделе Подключиться к виртуальной машине по OS Login.
Примечание
Образы с поддержкой OS Login доступны в Yandex Cloud Marketplace. Для ВМ, созданных из таких образов, в консоли управления
Чтобы включить доступ по OS Login на уровне организации:
-
Войдите в сервис Yandex Cloud Organization
с учетной записью администратора или владельца организации.При необходимости переключитесь на нужную организацию или федерацию.
-
На панели слева выберите
Настройки безопасности. -
Включите необходимые варианты доступа:
-
Доступ по OS Login при помощи SSH-сертификатов (рекомендуется).
Опция позволяет подключаться к ВМ или узлу кластера Kubernetes c SSH-сертификатом OS Login через YC CLI и через стандартный SSH-клиент. -
Доступ по OS Login при помощи SSH-ключей.
Опция позволяет подключаться к ВМ или узлу кластера Kubernetes через YC CLI или через стандартный SSH-клиент с SSH-ключом, сохраненным в профиле OS Login пользователя или сервисного аккаунта. -
Разрешить членам организации управлять своими SSH-ключами.
Опция доступна, если включен доступ по OS Login при помощи SSH-ключей.
Позволяет пользователям самостоятельно загружать в свой профиль публичные SSH-ключи для подключения к ВМ или узлам кластеров Kubernetes. Чтобы загрузить собственные SSH-ключи, воспользуйтесь инструкцией Добавить SSH-ключ.
-
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для включения доступа по OS Login на уровне организации:
yc organization-manager oslogin update-settings --help
-
Получите идентификатор нужной организации:
yc organization-manager organization list
Результат:
+----------------------+-------------------------+-------------------------+ | ID | NAME | TITLE | +----------------------+-------------------------+-------------------------+ | bpf1smsil5q0******** | sample-organization-1 | My organization | | bpf2c65rqcl8******** | sample-organization-new | New organization | +----------------------+-------------------------+-------------------------+
-
Включите доступ по OS Login для выбранной организации:
yc organization-manager oslogin update-settings \ --organization-id <идентификатор_организации> \ --ssh-certificates-enabled \ --ssh-user-keys-enabled \ --allow-manage-own-keys
Где:
-
--organization-id
— полученный ранее идентификатор организации. -
--ssh-certificates-enabled
— доступ по OS Login при помощи SSH-сертификатов. Опция позволяет подключаться к ВМ c SSH-сертификатом OS Login через YC CLI и через стандартный SSH-клиент.Чтобы выключить опцию, передайте значение
false
в этом параметре:--ssh-certificates-enabled=false
. -
--ssh-user-keys-enabled
— доступ по OS Login при помощи SSH-ключей. Опция позволяет подключаться к ВМ через YC CLI или через стандартный SSH-клиент с SSH-ключом, сохраненным в профиле OS Login пользователя организации.Чтобы выключить опцию, передайте значение
false
в этом параметре:--ssh-user-keys-enabled=false
. -
--allow-manage-own-keys
— разрешить пользователям загружать собственные SSH-ключи. Позволяет пользователям самостоятельно загружать в свой профиль публичные SSH-ключи для подключения к ВМ. Чтобы загрузить собственные SSH-ключи, воспользуйтесь инструкцией Добавить SSH-ключ. Опция доступна, если включен доступ по OS Login при помощи SSH-ключей.Чтобы выключить опцию, передайте значение
false
в этом параметре:--allow-manage-own-keys=false
.
Результат:
user_ssh_key_settings: enabled: true allow_manage_own_keys: true ssh_certificate_settings: enabled: true
-
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
-
Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:
resource "yandex_organizationmanager_os_login_settings" "my_os_login_settings" { organization_id = "<идентификатор_организации>" ssh_certificate_settings { enabled = true } user_ssh_key_settings { enabled = true allow_manage_own_keys = true } }
Где:
-
organization_id
— идентификатор организации. Получить идентификатор организации вы можете с помощью команды YC CLIyc organization-manager organization list
или в консоли управления . -
ssh_certificate_settings
— доступ по OS Login при помощи SSH-сертификатов. Опция позволяет подключаться к ВМ c SSH-сертификатом OS Login через YC CLI и через стандартный SSH-клиент. Параметрenabled
может принимать значенияtrue
(опция включена) иfalse
(опция выключена). -
user_ssh_key_settings
— блок параметров для управления доступом с помощью пользовательских SSH-ключей.-
enabled
— доступ по OS Login при помощи SSH-ключей. Опция позволяет подключаться к ВМ через YC CLI с SSH-ключом, сохраненным в профиле пользователя организации. Может принимать значенияtrue
(опция включена) иfalse
(опция выключена). -
allow_manage_own_keys
— разрешить пользователям загружать собственные SSH-ключи. Позволяет пользователям самостоятельно загружать в свой профиль публичные SSH-ключи для подключения к ВМ. Чтобы загрузить собственные SSH-ключи, воспользуйтесь инструкцией Добавить SSH-ключ. Опция доступна, если включен доступ по OS Login при помощи SSH-ключей. Может принимать значенияtrue
(опция включена) иfalse
(опция выключена).
-
Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера
. -
-
Проверьте корректность конфигурационных файлов.
-
В командной строке перейдите в папку, где вы создали конфигурационный файл.
-
Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.
-
-
Разверните облачные ресурсы.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply
-
Подтвердите создание ресурсов.
После этого настройки организации будут изменены. Чтобы убедиться в том, что доступ по OS Login включен, выполните команду YC CLI, указав идентификатор организации:
yc organization-manager oslogin get-settings --organization-id <идентификатор_организации>
Результат:
user_ssh_key_settings: enabled: true allow_manage_own_keys: true ssh_certificate_settings: enabled: true
-
Воспользуйтесь методом REST API updateSettings для ресурса OsLogin или вызовом gRPC API OsLoginService/UpdateSettings.
Примечание
Просматривать список профилей OS Login могут пользователи, которым назначена роль organization-manager.osLogins.viewer
или выше на организацию.