Google cloud platform IAM角色到SSH到VM,无管理权限
背景 要在Google Compute Engine中将ssh连接到VM实例中,我需要向用户提供instanceAdmin角色,这将为用户提供管理控制,这有时可能是一个安全问题 查询Google cloud platform IAM角色到SSH到VM,无管理权限,google-cloud-platform,google-compute-engine,google-iam,Google Cloud Platform,Google Compute Engine,Google Iam,背景 要在Google Compute Engine中将ssh连接到VM实例中,我需要向用户提供instanceAdmin角色,这将为用户提供管理控制,这有时可能是一个安全问题 查询 Google Compute Engine是否提供任何IAM角色,允许用户通过SSH连接实例,在其上运行程序,但不具有管理员权限(不向用户提供instanceAdmin角色)?TL;DR-不,在这种情况下,您不能使用IAM角色来实现您的要求 用于SSH密钥设置的IAM角色 以下角色允许SSH进入GCE虚拟机: Co
Google Compute Engine是否提供任何IAM角色,允许用户通过SSH连接实例,在其上运行程序,但不具有管理员权限(不向用户提供instanceAdmin角色)?TL;DR-不,在这种情况下,您不能使用IAM角色来实现您的要求 用于SSH密钥设置的IAM角色 以下角色允许SSH进入GCE虚拟机:
Compute引擎实例管理员
akaroles/Compute.instanceAdmin.v1
服务帐户参与者
akaroles/iam.serviceAccountActor
设置SSH密钥
由于GCE使用metadata server来提供SSH密钥,因此您将需要权限compute.instances.setMetadata
来提供密钥。设置完成后,您必须使用自己的自定义机制来分发密钥
换句话说,您必须自己在GCE实例上创建具有所需权限的其他用户,并控制SSH密钥的供应/分发给所需用户
GCE提供了使用RESTAPI或gcloud
管理SSH密钥的工具
请务必阅读以下详细说明流程的指南:
- CentOS 6和7 2016年2月10日
- Debian 8 2016年2月10日
- openSUSE 13 2016年2月10日
- 2016年2月10日RHEL 6日和7日
- SUSE 11和12 2016年3月1日
- Ubuntu 16.04 LTS和14.04 LTS 2016年3月3日
- Ubuntu 12.04 LTS 2016年3月29日
您可以分配
Compute OS Login
和Service Account User
IAM角色,同时将实例上的enable oslogin
元数据设置为true
这个答案现在可能已经过时了。见我的答复