Связаться с намиПодключиться

Включить доступ по OS Login

Статья создана
Обновлена 7 ноября 2024 г.

Доступ по OS Login позволяет подключаться к ВМ и узлам кластеров Kubernetes c SSH-ключом или SSH-сертификатом через YC CLI или через стандартный SSH-клиент. При подключении с SSH-ключом публичный SSH-ключ необходимо предварительно добавить в профиль пользователя организации в Yandex Cloud Organization.

Чтобы создавать виртуальные машины или узлы Kubernetes с доступом по OS Login, разрешите такую возможность на уровне организации. После этого вы сможете включить доступ по OS Login на ВМ, созданных из подготовленного образа с поддержкой OS Login, или самостоятельно настроить агента OS Login на уже работающей ВМ. Подробнее про подключение по OS Login см. в разделе Подключиться к виртуальной машине по OS Login.

Примечание

Образы с поддержкой OS Login доступны в Yandex Cloud Marketplace. Для ВМ, созданных из таких образов, в консоли управления в форме создания и редактирования ВМ в блоке Доступ активна опция Доступ по OS Login. Если эта опция неактивна, значит выбранный образ не поддерживает доступ по OS Login.

Чтобы включить доступ по OS Login на уровне организации:

  1. Войдите в сервис Yandex Cloud Organization с учетной записью администратора или владельца организации.

    При необходимости переключитесь на нужную организацию или федерацию.

  2. На панели слева выберите Настройки безопасности.

  3. Включите необходимые варианты доступа:

    • Доступ по OS Login при помощи SSH-сертификатов (рекомендуется).
      Опция позволяет подключаться к ВМ или узлу кластера Kubernetes c SSH-сертификатом OS Login через YC CLI и через стандартный SSH-клиент.

    • Доступ по OS Login при помощи SSH-ключей.
      Опция позволяет подключаться к ВМ или узлу кластера Kubernetes через YC CLI или через стандартный SSH-клиент с SSH-ключом, сохраненным в профиле OS Login пользователя или сервисного аккаунта.

    • Разрешить членам организации управлять своими SSH-ключами.
      Опция доступна, если включен доступ по OS Login при помощи SSH-ключей.
      Позволяет пользователям самостоятельно загружать в свой профиль публичные SSH-ключи для подключения к ВМ или узлам кластеров Kubernetes. Чтобы загрузить собственные SSH-ключи, воспользуйтесь инструкцией Добавить SSH-ключ.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды CLI для включения доступа по OS Login на уровне организации:

    yc organization-manager oslogin update-settings --help

  2. Получите идентификатор нужной организации:

    yc organization-manager organization list

    Результат:

    +----------------------+-------------------------+-------------------------+
|          ID          |          NAME           |          TITLE          |
+----------------------+-------------------------+-------------------------+
| bpf1smsil5q0******** | sample-organization-1   | My organization         |
| bpf2c65rqcl8******** | sample-organization-new | New organization        |
+----------------------+-------------------------+-------------------------+

  3. Включите доступ по OS Login для выбранной организации:

    yc organization-manager oslogin update-settings \
  --organization-id <идентификатор_организации> \
  --ssh-certificates-enabled \
  --ssh-user-keys-enabled \
  --allow-manage-own-keys

    Где:

    • --organization-id — полученный ранее идентификатор организации.

    • --ssh-certificates-enabled — доступ по OS Login при помощи SSH-сертификатов. Опция позволяет подключаться к ВМ c SSH-сертификатом OS Login через YC CLI и через стандартный SSH-клиент.

      Чтобы выключить опцию, передайте значение false в этом параметре: --ssh-certificates-enabled=false.

    • --ssh-user-keys-enabled — доступ по OS Login при помощи SSH-ключей. Опция позволяет подключаться к ВМ через YC CLI или через стандартный SSH-клиент с SSH-ключом, сохраненным в профиле OS Login пользователя организации.

      Чтобы выключить опцию, передайте значение false в этом параметре: --ssh-user-keys-enabled=false.

    • --allow-manage-own-keys — разрешить пользователям загружать собственные SSH-ключи. Позволяет пользователям самостоятельно загружать в свой профиль публичные SSH-ключи для подключения к ВМ. Чтобы загрузить собственные SSH-ключи, воспользуйтесь инструкцией Добавить SSH-ключ. Опция доступна, если включен доступ по OS Login при помощи SSH-ключей.

      Чтобы выключить опцию, передайте значение false в этом параметре: --allow-manage-own-keys=false.

    Результат:

    user_ssh_key_settings:
  enabled: true
  allow_manage_own_keys: true
ssh_certificate_settings:
  enabled: true

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    resource "yandex_organizationmanager_os_login_settings" "my_os_login_settings" {
  organization_id = "<идентификатор_организации>"
  ssh_certificate_settings {
    enabled = true
  }
  user_ssh_key_settings {
    enabled               = true
    allow_manage_own_keys = true
  }
}

    Где:

    • organization_id — идентификатор организации. Получить идентификатор организации вы можете с помощью команды YC CLI yc organization-manager organization list или в консоли управления.

    • ssh_certificate_settings — доступ по OS Login при помощи SSH-сертификатов. Опция позволяет подключаться к ВМ c SSH-сертификатом OS Login через YC CLI и через стандартный SSH-клиент. Параметр enabled может принимать значения true (опция включена) и false (опция выключена).

    • user_ssh_key_settings — блок параметров для управления доступом с помощью пользовательских SSH-ключей.

      • enabled — доступ по OS Login при помощи SSH-ключей. Опция позволяет подключаться к ВМ через YC CLI с SSH-ключом, сохраненным в профиле пользователя организации. Может принимать значения true (опция включена) и false (опция выключена).

      • allow_manage_own_keys — разрешить пользователям загружать собственные SSH-ключи. Позволяет пользователям самостоятельно загружать в свой профиль публичные SSH-ключи для подключения к ВМ. Чтобы загрузить собственные SSH-ключи, воспользуйтесь инструкцией Добавить SSH-ключ. Опция доступна, если включен доступ по OS Login при помощи SSH-ключей. Может принимать значения true (опция включена) и false (опция выключена).

    Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов.

    После этого настройки организации будут изменены. Чтобы убедиться в том, что доступ по OS Login включен, выполните команду YC CLI, указав идентификатор организации:

    yc organization-manager oslogin get-settings --organization-id <идентификатор_организации>

    Результат:

    user_ssh_key_settings:
  enabled: true
  allow_manage_own_keys: true
ssh_certificate_settings:
  enabled: true

Воспользуйтесь методом REST API updateSettings для ресурса OsLogin или вызовом gRPC API OsLoginService/UpdateSettings.

Примечание

Просматривать список профилей OS Login могут пользователи, которым назначена роль organization-manager.osLogins.viewer или выше на организацию.

См. также

Предыдущая
Настроить сопоставление групп федеративных пользователей
Следующая
Создать профиль OS Login