【问题标题】:Grant someone access to only one of the instances on Google compute engine仅授予某人访问 Google 计算引擎上的一个实例的权限
【发布时间】:2017-04-20 19:05:46
【问题描述】:

我在 Google Cloud 上有一个项目,其中创建了一些 vm 实例。

我只需要授予某人访问其中一个实例的权限

现在,我通过 IAM 将它们添加为,让他们可以访问所有实例

  1. Compute Engine 实例管理员
  2. 将她添加为默认计算引擎服务帐户参与者

但是我该如何更改它以使他们只能访问其中一个实例?

谢谢

【问题讨论】:

标签: google-cloud-platform google-compute-engine


【解决方案1】:

可以手动将他们的公共 SSH 密钥添加到机器:the documentation can be found here
您将生成一个公钥/私钥对,对其进行格式化,将公钥上传到机器,用户将能够使用私钥连接到机器。

然后移除 Compute Engine 实例管理员角色以取消她对其他实例的访问权限。

如果您将她的角色保留为默认计算引擎服务帐户参与者,她可能会承担与服务帐户相同的权限,默认情况下是项目编辑。
限制这种情况的最佳方法是创建一个新的服务帐户,其中仅包含您希望授予的范围(可能访问存储或其他一些 API),将其设置为实例的服务帐户并将用户添加为其参与者。 You can read more here.

【讨论】:

    【解决方案2】:

    在 GCP 上向用户授予 SSH 的最佳做法是:

    1. 编辑 VM 实例,在元数据部分添加 enable-oslogin=TRUE
    2. 在项目级别为用户添加角色 Service Account UserCompute viewer
    3. 在实例级别,在权限面板上:为用户添加角色Compute OS Admin LoginCompute OS Login

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-03-16
      • 1970-01-01
      • 2017-03-23
      • 1970-01-01
      • 2014-03-06
      • 2023-03-21
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多