Google cloud platform 使用GCP Compute Engine，我如何创建一个自定义角色，只启用这三个活动：启动、停止、ssh等等？ 总结问题

我想授予用户仅在GCE上执行这三项活动的能力

启动特定实例（从控制台或任何其他方法）

停止相同的特定实例

ssh（直接ssh命令或gcloud ssh）

没别的了。简单,只有1,2.也可以，因为无需授予GCE权限即可允许ssh（可以通过ssh完成）

用户将没有任何权限以任何方式编辑实例，无法删除实例，无法添加或删除磁盘，或更改网络的任何方面，也无法启动/停止或ssh到同一项目中的其他GCE VM

我希望创建一个绑定到特定现有VM的角色，并将这三个权限（或允许这三个活动的权限组合）授予具有GCP帐户的特定用户

---

提供背景信息，包括您已经尝试过的内容

我已彻底阅读了GCE的所有IAM/角色文档。我认为没有办法将这些细粒度权限应用于特定的现有VM

参考：

https://cloud.google.com/compute/docs/access/iam

这是我正在阅读的文件，正在寻找答案。我看这里没有任何东西允许这样做

我希望我错过了什么，希望有一些魔法或咒语能让我做到这一点

描述预期和实际结果，包括任何错误消息

---

从我阅读的文档来看，任何可以授予的权限都太过深远。它似乎提供了一切（编辑实例的能力，包括创建、修改其他VM实例），或者什么都不提供。

至少

Compute instance Admin（v1）

角色是特定资源所必需的

转到IAM管理->IAM->添加：

添加成员，例如

rajesh。nitc@gmail.com

。在此阶段，您必须提供至少1个角色，否则将无法添加成员。指定

计算查看器的角色

转到计算引擎->虚拟机实例->显示信息面板（最右边）->现在单击特定计算引擎姿态上的复选框->您将在显示信息面板中看到它的信息->单击添加成员->添加上述成员，并赋予角色

计算实例管理员（v1）

使用此设置，用户将能够启动/停止/ssh特定实例并查看其他计算引擎资源（例如，也可以查看其他VM），但无法启动/停止/ssh其他VM

---

基本上，用户将在项目级别拥有

Compute-Viewer

角色，但在资源级别拥有

Compute-Instance-Admin（v1）

角色，至少在特定资源上需要

Compute-Instance-Admin（v1）

角色

转到IAM管理->IAM->添加：

添加成员，例如

rajesh。nitc@gmail.com

。在此阶段，您必须提供至少1个角色，否则将无法添加成员。指定

计算查看器的角色

转到计算引擎->虚拟机实例->显示信息面板（最右边）->现在单击特定计算引擎姿态上的复选框->您将在显示信息面板中看到它的信息->单击添加成员->添加上述成员，并赋予角色

计算实例管理员（v1）

使用此设置，用户将能够启动/停止/ssh特定实例并查看其他计算引擎资源（例如，也可以查看其他VM），但无法启动/停止/ssh其他VM

---

基本上，用户将在项目级别扮演

computeviewer

角色，但在资源级别扮演

computeinstanceadmin（v1）

角色，我感谢您的回复，这提供了有价值的信息。下面是我将授予的计算实例管理员角色的链接<代码>https://cloud.google.com/compute/docs/access/iam#compute.instanceAdmin我将授予的权限远不止是简单地启动/停止特定实例。我的要求是不授予超出绝对需要的权限。我只希望授予启动/停止活动，仅此而已。如果除了此之外还授予了任何其他权限（通过授予“compute.instanceAdmin”角色），那么我需要找到另一种方法来解决此问题。“compute.instanceAdmin”角色授予启动/停止之外的57个额外权限，这不符合我发布的问题/问题中的要求。感谢您的回复，这提供了宝贵的信息。下面是我将授予的计算实例管理员角色的链接<代码>https://cloud.google.com/compute/docs/access/iam#compute.instanceAdmin我将授予的权限远不止是简单地启动/停止特定实例。我的要求是不授予超出绝对需要的权限。我只希望授予启动/停止活动，仅此而已。如果除了此之外还授予了任何其他权限（通过授予“compute.instanceAdmin”角色），那么我需要找到另一种方法来解决此问题。“compute.instanceAdmin”角色授予启动/停止之外的57个额外权限，这不符合我发布的问题/问题中的要求。