GCP 101: OS Login
OS Login là giải pháp quản lý quyền truy cập user trên VM của GCP. Có thể cấu hình cho user access vào VM mà không cần phải khởi tạo / phân quyền trước cho user trên VM.
Để cấu hình OS Login cho Project Scope, chúng ta cần cấu hình Metadata cho Project như sau https://console.cloud.google.com/compute/metadata
Để cấu hình cho riêng từng instance, cấu hình trong metadata của từng VM.
Cấu hình cho user có quyền access vào VM
Trước tiên IAM user cần có role roles/iam.serviceAccountUser để act as the SA.
Project level
https://console.cloud.google.com/iam-admin/roles
GCP có sẵn 2 roles cho os login là
roles/compute.osLogin: login dưới quyền user non-rootroles/compute.osAdminLogin: login dưới quyền user root
Attach roles cho IAM
Instance level
Vào từng VM cần grant permission, attach roles
Testing
Login trên web
Login bằng gcloud cli
Tham khảo
- How OS Login Works https://cloud.google.com/compute/docs/oslogin#how_os_login_works
- Configure OS Login for GCE instance https://www.youtube.com/watch?v=I29400R8tXg
- The Service Account User role https://cloud.google.com/iam/docs/service-accounts#user-role
