Как предоставить доступ к единственному вычислительному экземпляру на GCP?

Question

Как предоставить доступ к единственному вычислительному экземпляру на GCP?

Я пытался понять это, но пока не повезло. Удивительно трудно достичь по сравнению с AWS.

У меня есть проект Google Cloud Platform (GCP) с несколькими запущенными вычислительными экземплярами и другими службами.

Мне нужно предоставить root-доступ для одного вычислительного экземпляра, но не для какой-либо другой службы внешней команде разработчиков.

В представлении "Compute Engine", когда я выбираю экземпляр и добавляю пользователя в качестве Compute Admin (полный контроль над всеми ресурсами Compute Engine), но он все еще не может ssh в экземпляр.

Попробуйте № 1:

Получил ошибку: "Требуется compute.instance.get разрешение ".

Поэтому я пошел и дал этому пользователю роль, которая включала это разрешение.

Попробуйте №2:

Возникла ошибка "У пользователя нет доступа к служебной учетной записи..."

Вопросы #1 Что нужно сделать для того, чтобы просто предоставить роли доступ к единственному вычислительному экземпляру в GCP?

В AWS есть определенная роль, которой можно предоставить доступ к одному ресурсу, но здесь, похоже, это действительно так.

Вопросы №2. Также, какова цель правой боковой панели "Разрешения" в представлении "Compute Engine", если это не дает никаких разрешений.

Спасибо!

15

google-cloud-platform google-compute-engine google-cloud-networking

Источник

user2984127 11 окт '18 в 09:32

1 ответ

Другие вопросы по тегам google-cloud-platform google-compute-engine google-cloud-networking

user5368139 06 авг '19 в 00:30 2019-08-06 00:30 · Answer 1 · 2019-08-06 00:30

У меня была такая же проблема, и я нашел решение. Постараюсь ответить на ваши вопросы:

Вопрос №1: Что нужно сделать, чтобы просто предоставить ролевой доступ к одному экземпляру вычислений в GCP?

Вам необходимо предоставить пользователю следующие разрешения:

1. На главной странице IAM https://console.cloud.google.com/iam-admin/iam?project=your_project предоставьте пользователю роли "Просмотр вычислений" и "Пользователь учетной записи службы".

2. На странице виртуальных машин https://console.cloud.google.com/compute/instances?folder=&organizationId=&project=your_project выберите одну или несколько виртуальных машин и предоставьте пользователю "Администратор экземпляра вычислений (v1). "роль.

Теперь пользователь может подключиться к виртуальной машине по SSH.

Вопросы №2. Также какова цель правой боковой панели "Разрешения" в представлении "Compute Engine", если она фактически не дает никаких разрешений.

В GCP есть разрешения на уровне проекта и на уровне ресурсов. Правая боковая панель "Разрешения" в "Compute Engine" устанавливает разрешения для одного ресурса.

Надеюсь это поможет!

user9743418 11 окт '18 в 16:08 2018-10-11 16:08 · Answer 2 · 2018-10-11 16:08

По этой ссылке вы найдете различные способы добавления новых пользователей в свой проект и настройки управления доступом для ресурсов Compute Engine.

Примечание. Если вы хотите назначить пользовательский SSH экземплярам виртуальной машины, но запретить доступ ко всем API, добавьте пользовательские ключи SSH в проект или экземпляр вместо добавления пользователя в проект и предоставления им широких разрешений.

Если вы хотите предоставить пользователям только SSH-доступ к экземплярам виртуальной машины, вы можете добавить открытый ключ пользователя в проект или добавить открытый ключ пользователя в конкретный экземпляр. Это упоминается в ссылке здесь.
Управление доступом к экземплярам С помощью входа в систему ОС эта функция дает более детальный контроль над тем, какие пользователи могут подключаться к вашим экземплярам и какой уровень разрешений у них есть. Для получения дополнительной информации см. Этот документ.