【发布时间】:2017-04-20 19:05:46
【问题描述】:
我在 Google Cloud 上有一个项目,其中创建了一些 vm 实例。
我只需要授予某人访问其中一个实例的权限
现在,我通过 IAM 将它们添加为,让他们可以访问所有实例
- Compute Engine 实例管理员
- 将她添加为默认计算引擎服务帐户参与者
但是我该如何更改它以使他们只能访问其中一个实例?
谢谢
【问题讨论】:
标签: google-cloud-platform google-compute-engine
我在 Google Cloud 上有一个项目,其中创建了一些 vm 实例。
我只需要授予某人访问其中一个实例的权限
现在,我通过 IAM 将它们添加为,让他们可以访问所有实例
但是我该如何更改它以使他们只能访问其中一个实例?
谢谢
【问题讨论】:
标签: google-cloud-platform google-compute-engine
可以手动将他们的公共 SSH 密钥添加到机器:the
documentation can be found here。
您将生成一个公钥/私钥对,对其进行格式化,将公钥上传到机器,用户将能够使用私钥连接到机器。
然后移除 Compute Engine 实例管理员角色以取消她对其他实例的访问权限。
如果您将她的角色保留为默认计算引擎服务帐户参与者,她可能会承担与服务帐户相同的权限,默认情况下是项目编辑。
限制这种情况的最佳方法是创建一个新的服务帐户,其中仅包含您希望授予的范围(可能访问存储或其他一些 API),将其设置为实例的服务帐户并将用户添加为其参与者。 You can read more here.
【讨论】:
在 GCP 上向用户授予 SSH 的最佳做法是:
enable-oslogin=TRUE
Service Account User 和 Compute viewer
Compute OS Admin Login 或Compute OS Login
【讨论】: