背景IAM角色到SSH到虛擬機,而不聯繫Priveleges
ssh到在谷歌Compute Engine的VM的情況下,我需要提供instanceAdmin角色給用戶,這給管理控制權交給用戶,有時可能是一個安全問題。
查詢
是否谷歌計算引擎提供任何IAM角色,這將允許用戶SSH到的情況下,在其上運行的程序,但沒有管理員權限(不提供instanceAdmin角色到用戶)?
背景IAM角色到SSH到虛擬機,而不聯繫Priveleges
ssh到在谷歌Compute Engine的VM的情況下,我需要提供instanceAdmin角色給用戶,這給管理控制權交給用戶,有時可能是一個安全問題。
查詢
是否谷歌計算引擎提供任何IAM角色,這將允許用戶SSH到的情況下,在其上運行的程序,但沒有管理員權限(不提供instanceAdmin角色到用戶)?
TL; DR - 不,the list of Google Compute engine (GCE) IAM roles provided,您不能使用IAM角色來實現您所要求的。
以下角色允許SSH進入GCE虛擬機:
Compute Engine Instance Admin
又名roles/compute.instanceAdmin.v1
Service account actor
又名roles/iam.serviceAccountActor
由於GCE使用元數據服務器要配置SSH密鑰,您將需要權限compute.instances.setMetadata
來配置密鑰。配置完成後,您必須使用您自己的自定義機制來分配密鑰。
換句話說,您將不得不在GCE實例上自己創建額外的用戶,並擁有所需的權限並控制SSH密鑰的供應/分配給所需用戶。
GCE提供了使用REST API或gcloud
來管理SSH密鑰的工具。
務必閱讀以下指南,詳細解釋過程:
GCE將使用元數據服務器親視覺SSH密鑰,它是在其上月後創建以下圖片僅支持/月2016
- 的CentOS 6和7 2016年2月10日
- Debian的8 2016年2月10日
- 的openSUSE 13 2016年2月10日
- RHEL 6和7 2016年2月10日
- SUSE 11和12 2016年3月1日
- 的Ubuntu 16.04 LTS和14.04 LTS 2016年3月3日
- Ubuntu 12。04 LTS 2016年3月29日