背景IAM角色到SSH到虚拟机,而不联系Priveleges
ssh到在谷歌Compute Engine的VM的情况下,我需要提供instanceAdmin角色给用户,这给管理控制权交给用户,有时可能是一个安全问题。
查询
是否谷歌计算引擎提供任何IAM角色,这将允许用户SSH到的情况下,在其上运行的程序,但没有管理员权限(不提供instanceAdmin角色到用户)?
背景IAM角色到SSH到虚拟机,而不联系Priveleges
ssh到在谷歌Compute Engine的VM的情况下,我需要提供instanceAdmin角色给用户,这给管理控制权交给用户,有时可能是一个安全问题。
查询
是否谷歌计算引擎提供任何IAM角色,这将允许用户SSH到的情况下,在其上运行的程序,但没有管理员权限(不提供instanceAdmin角色到用户)?
TL; DR - 不,the list of Google Compute engine (GCE) IAM roles provided,您不能使用IAM角色来实现您所要求的。
以下角色允许SSH进入GCE虚拟机:
Compute Engine Instance Admin
又名roles/compute.instanceAdmin.v1
Service account actor
又名roles/iam.serviceAccountActor
由于GCE使用元数据服务器要配置SSH密钥,您将需要权限compute.instances.setMetadata
来配置密钥。配置完成后,您必须使用您自己的自定义机制来分配密钥。
换句话说,您将不得不在GCE实例上自己创建额外的用户,并拥有所需的权限并控制SSH密钥的供应/分配给所需用户。
GCE提供了使用REST API或gcloud
来管理SSH密钥的工具。
务必阅读以下指南,详细解释过程:
GCE将使用元数据服务器亲视觉SSH密钥,它是在其上月后创建以下图片仅支持/月2016
- 的CentOS 6和7 2016年2月10日
- Debian的8 2016年2月10日
- 的openSUSE 13 2016年2月10日
- RHEL 6和7 2016年2月10日
- SUSE 11和12 2016年3月1日
- 的Ubuntu 16.04 LTS和14.04 LTS 2016年3月3日
- Ubuntu 12。04 LTS 2016年3月29日