我有一个 Google Cloud Compute Engine 实例,我在其中创建了一个新用户(通过adduser),以允许开发人员在该实例中工作。现在他具有 SSH 访问权限并且可以登录实例,但我希望他能够启动/停止实例,以便在他不处理实例时它不会运行,以防止在空闲时充电。理想情况下,他可以安装gcloud并只运行gcloud compute instances start/stop命令,但不能运行其他命令
我查看了 IAM 角色,似乎没有计算实例用户角色。是否可以授予外部用户这种能力?
可以,只要他们拥有任何类型的 Google 帐户即可。这是怎么做的;实际上,您似乎想要创建一个自定义 IAM 角色并在相关实例上为其提供instances.reset、instances.start和instances.stop。
如果他们不在您的公司, Cloud Identity可能是用来授予他们访问权限的正确工具;更多信息在这里。
顺便说一句,adduser这不是允许额外用户访问实例的正确方法;OS Login是适合这项工作的工具。(还有另一种现已弃用的方法:将他们的 SSH 密钥添加到实例元数据)。