0
背景IAM角色到SSH到虚拟机,而不联系Priveleges
ssh到在谷歌Compute Engine的VM的情况下,我需要提供instanceAdmin角色给用户,这给管理控制权交给用户,有时可能是一个安全问题。
查询
是否谷歌计算引擎提供任何IAM角色,这将允许用户SSH到的情况下,在其上运行的程序,但没有管理员权限(不提供instanceAdmin角色到用户)?
A
回答
2
TL; DR - 不,the list of Google Compute engine (GCE) IAM roles provided,您不能使用IAM角色来实现您所要求的。
的SSH密钥提供IAM角色
以下角色允许SSH进入GCE虚拟机:
Compute Engine Instance Admin又名roles/compute.instanceAdmin.v1 Service account actor又名roles/iam.serviceAccountActor
置备SSH密钥
由于GCE使用元数据服务器要配置SSH密钥,您将需要权限compute.instances.setMetadata来配置密钥。配置完成后,您必须使用您自己的自定义机制来分配密钥。
换句话说,您将不得不在GCE实例上自己创建额外的用户,并拥有所需的权限并控制SSH密钥的供应/分配给所需用户。
GCE提供了使用REST API或gcloud来管理SSH密钥的工具。
务必阅读以下指南,详细解释过程:
- SSH Keys
- Adding and removing SSH keys
- Provisioning the keys on the client side and connecting to the instance
Supported Images
GCE将使用元数据服务器亲视觉SSH密钥,它是在其上月后创建以下图片仅支持/月2016
- 的CentOS 6和7 2016年2月10日
- Debian的8 2016年2月10日
- 的openSUSE 13 2016年2月10日
- RHEL 6和7 2016年2月10日
- SUSE 11和12 2016年3月1日
- 的Ubuntu 16.04 LTS和14.04 LTS 2016年3月3日
- Ubuntu 12。04 LTS 2016年3月29日
相关问题
- 1. 虚拟机映像中的访问页面而不是虚拟机角色?
- 2. 创建虚拟机并将虚拟机关联到现有的虚拟网络
- 3. Windows Azure虚拟机角色上传
- 4. openstack网络不能ping /从/到虚拟机ssh
- 5. 如何访问安装在虚拟机之外的Azure虚拟机(虚拟机角色)上的sql server?
- 6. AWS IAM策略通过关联的IAM角色限制实例
- 7. Terraform:AWS Redshift IAM角色
- 8. 的.htaccess到虚拟主机
- 9. Bash脚本循环问题(SSH到虚拟机)
- 10. SSH到AWS虚拟机在Mac OSX - 权限被拒绝(公钥)
- 11. 找不到JNI_Onload()和虚拟机关闭
- 12. PrinterPlusPlus找不到虚拟打印机
- 13. 不能安装awscli到docker虚拟机
- 14. Eclipse - 在位置找不到虚拟机
- 15. 在使用xen创建的虚拟化环境中,ping到主虚拟机到guest虚拟机主机失败
- 16. 无法联系主机上的虚拟机上的Ape-Server
- 17. 连接到虚拟机从Windows机器
- 18. 重命名IAM角色
- 19. 转移到新电脑后虚拟环境中找不到虚拟环境中的虚拟机扩展
- 20. Ubuntu的虚拟机无法连接到互联网
- 21. 更清洁的方式来绑定角度虚拟机到表
- 22. 如何使用Terraform将多个IAM策略附加到IAM角色?
- 23. Azure虚拟机角色是否仍然存在?
- 24. Visual Studio中的“新虚拟机角色”选项
- 25. Azure Web角色和虚拟机的耐用性
- 26. Azure功能角色像停止Azure虚拟机的权限
- 27. 在Azure Web角色虚拟机上安装IIS Media Services
- 28. 添加虚拟机到Azure的虚拟网络
- 29. 从SSH会话注销到Erlang VM而不停止虚拟机或保留过期的进程
- 30. 虚拟卡VS SQL表联系人