背景
要在 Google Compute Engine 中通过 ssh 连接到 VM 实例,我需要为用户提供 instanceAdmin 角色,从而为用户提供管理员控制权,这有时可能是一个安全问题。
查询
Google Compute Engine 是否提供任何 IAM 角色,允许用户通过 SSH 连接到实例,在其上运行程序但没有管理员权限(不向用户提供 instanceAdmin 角色)??
【问题讨论】:
标签: google-cloud-platform google-compute-engine google-iam
TL;DR - 不,对于 the list of Google Compute engine (GCE) IAM roles provided,您无法使用 IAM 角色来实现您的要求。
以下角色允许 SSH 进入 GCE 虚拟机:
Compute Engine Instance Admin 又名roles/compute.instanceAdmin.v1
Service account actor又名roles/iam.serviceAccountActor
由于 GCE 使用元数据服务器来配置 SSH 密钥,因此您需要权限 compute.instances.setMetadata 来配置密钥。配置完成后,您必须使用自己的自定义机制来分发密钥。
换句话说,您必须自己在 GCE 实例上创建具有所需权限的其他用户,并控制向所需用户提供/分发 SSH 密钥。
GCE 提供了使用 REST API 或 gcloud 来管理 SSH 密钥的工具。
请阅读以下详细解释该过程的指南:
GCE 将使用元数据服务器来配置 SSH 密钥,并且仅在 2016 年 2 月/3 月之后创建的以下映像上受支持。
- CentOS 6 和 7 2016 年 2 月 10 日
- Debian 8 2016 年 2 月 10 日
- openSUSE 2016 年 2 月 10 日 13 日
- RHEL 6 和 7 2016 年 2 月 10 日
- SUSE 11 和 12 2016 年 3 月 1 日
- Ubuntu 16.04 LTS 和 14.04 LTS 2016 年 3 月 3 日
- Ubuntu 12.04 LTS 2016 年 3 月 29 日
【讨论】:
您可以分配Compute OS Login 和Service Account User IAM 角色,同时将实例上的enable-oslogin 元数据设置为true。
https://cloud.google.com/compute/docs/instances/managing-instance-access
【讨论】: