创建新实例时，GCE 计算实例账户从何而来？答案

【问题标题】：Where do GCE compute instance accounts come from when creating new instances?创建新实例时，GCE 计算实例账户从何而来？
【发布时间】：2013-12-22 08:32:20
【问题描述】：

我在 Google Compute Engine 项目中创建了一个全新的实例，我在日志中看到该实例从元数据创建新帐户的位置。一些创建的帐户已从项目权限中删除。

例如在项目权限中，我有：

nnnn@project.gserviceaccount.com
realuser1@gmail.com
realuser2@gmail.com
myownacct@domain.com
projectname@appspot.gservice.com
realuser3@gmail.com

实例创建的日志条目显示它正在实例中为已从项目中删除的用户创建用户帐户。它也不会显示添加到项目权限的 realuser3。

(instance-name) accounts-from-metadata: INFO Creating account (deleted1 user account)
(instance-name) accounts-from-metadata: INFO Creating account (realuser1 user account)
(instance-name) accounts-from-metadata: INFO Creating account (myownacct user account)
(instance-name) accounts-from-metadata: INFO Creating account user
(instance-name) accounts-from-metadata: INFO Creating account ubuntu
(instance-name) accounts-from-metadata: INFO Creating account (deleted2 user account)
(instance-name) accounts-from-metadata: INFO Creating account (previous google support user)

我希望看到 realuser3，并且我不希望没有项目权限的已删除用户在新图像上创建帐户。

【问题讨论】：

标签： security google-compute-engine

【解决方案1】：

VM 内的账户与有权操作 API 的账户是分开的。

VM 中的帐户来自 VM 看到的 sshKeys 元数据值。这是 VM 特定元数据和项目元数据的联合。

默认情况下，gcutil 会提示您创建一个密钥，并使用该密钥和 $USER 扩展 sshKeys 元数据值。查看和编辑它的最简单方法是在Cloud Console。有更多关于 ssh 到实例 here 的详细信息。

【讨论】：

我还是一头雾水。日志来自一个新的实例 Web 串行控制台，我还不能登录，所以不应该有任何 sshKeys 元数据。日志显示它创建了几个月前已从项目权限中删除的帐户。因此，如果用户在项目权限中不存在，并且通过 ssh 连接不存在，则用户帐户不应该存在。
该脚本不会删除任何用户帐户以避免数据丢失。通过 gcutil getproject 和 gcutil getinstance <instance name> 检查 sshKeys 以确保您没有遗漏任何内容。

【解决方案2】：

谢谢，这回答了我的问题。

$ gcutil getproject - 确实显示了权限页面中不存在的帐户的 sshKeys。

权限页面： https://cloud.google.com/console/project/apps~(project)/teams

元数据页面： https://cloud.google.com/console/project/apps~(project)/compute/metadata

导航到元数据页面（位于 Compute Engine 下，而不是主项目下）并删除所有 sshKeys 条目会删除重新出现的帐户。

【讨论】：