0

我正在尝试使用 GCloud IAM 权限在我们的 GCP 基础架构上设置每个实例级别的权限(例如,可以在机器 A 上进行 SSH,但不能在机器 B 上进行 SSH)。

但是,我遇到了一个奇怪的行为。

如果我将一个用户添加到 GCloud 项目中Compute Viewer,则该用户将能够在该部分中的所有VM 设置上进行 SSH。Compute Engine

这是没有意义的,因为文档本身指出您不能使用 SSH Compute Viewerhttps ://cloud.google.com/compute/docs/access/

此外,当我尝试为每个特定实例设置权限时(通过进入Compute Engine> VM Instances,选择特定实例并从权限选项卡中添加权限),这些似乎实际上没有任何效果。

不知道我是否错过了什么:

  • 为什么Compute Viewer允许SSH?
  • 为什么每个实例的权限无效?
4

1 回答 1

2

您可以使用操作系统登录在实例级别管理 SSH 访问。

Compute Viewer 访问权限不足以通过 SSH 访问 VM 实例。

您需要 compute.instances.setMetadata、compute.projects.setCommonInstanceMetadata 或 compute.instances.osLogin(启用 OsLogin)和 iam.serviceAccounts.actAs 之一。

我刚刚也对其进行了测试以确认并收到上述错误。

您可能已经为您的用户分配了一些其他角色/权限,这些角色/权限需要在您的项目中进行审查,因为 IAM 角色 Compute Viewer 是不够的。

于 2018-12-19T21:27:44.050 回答