我只是想知道计算引擎的服务帐户和这些计算引擎中的 Linux 用户如何一起玩。
如果我登录一个计算引擎,我会得到一个带有我名字的新 Linux 用户。此用户是否具有与我的谷歌帐户相同的权限?
计算引擎上的根用户使用计算引擎的服务帐户,这是预期的。
新创建的 Linux 用户也使用计算引擎的服务帐户。
您能否以某种方式配置新的 Linux 用户以使用 Google 帐户进行云 API 调用而不是计算引擎帐户?
问问题
73 次
1 回答
1
我只是想知道计算引擎的服务帐户和这些计算引擎中的 Linux 用户如何一起玩。
Google 服务帐户和 Linux 用户之间没有任何关系。
如果我登录一个计算引擎,我会得到一个带有我名字的新 Linux 用户。此用户是否具有与我的谷歌帐户相同的权限?
通过 Google 帐户,我假设您是指用于 Gmail 等的帐户。Linux 用户(用户名)和您的 Google 帐户之间没有任何关系。
启动 Google Compute Engine VM 实例时,会为该实例创建凭据并将其存储在元数据服务器中。每个用户都可以访问这些凭据。该实例上的所有 Linux 用户的凭证都是相同的。这些凭据的权限由 Google 控制台中设置的范围或通过分配给实例的服务帐户管理。
计算引擎上的根用户使用计算引擎的服务帐户,这是预期的。
不正确的假设。Linux 用户(包括 root)从元数据服务器访问凭据。这可以是分配给实例或服务帐户的范围。请注意,凭据可以具有零权限。
新创建的 Linux 用户也使用计算引擎的服务帐户。
上一个问题的答案相同。
您能否以某种方式配置新的 Linux 用户以使用 Google 帐户进行云 API 调用而不是计算引擎帐户?
有三种类型的凭据。用户帐户凭据 (OAuth 2.0)、服务帐户凭据和 API 密钥。
要使用用户帐户凭据(例如,您的 Google 帐户),您需要在 VM 中启动 Web 浏览器。默认情况下,Google Compute Engine 虚拟机没有桌面或 GUI。因此没有网络浏览器。因此没有用户帐户凭据。
您可以创建服务帐户 Json 文件并基于每个用户或每个应用程序使用这些凭据。您还可以将 Google SDK 和工具配置为使用特定的服务帐户(存储在 Json 文件中)。
最后一个选项是 API 密钥。这些仅用于某些 API。
于 2019-01-10T10:32:27.593 回答