Пользователи Linux Compute Engine и их отношение к учетным записям служб

Question

Мне было просто интересно, как сервисная учетная запись вычислительного движка и пользователей Linux внутри этого вычислительного движка играют вместе.

Если я войду в компьютерную систему, я получу нового пользователя Linux с моим именем. Имеет ли этот пользователь те же разрешения, что и моя учетная запись Google?

Пользователь root на вычислительном движке использует служебную учетную запись вычислительного механизма, что ожидается.

Недавно созданный пользователь Linux также использует учетную запись службы вычислительного движка.

Можете ли вы как-то настроить нового пользователя Linux для использования учетной записи Google для облачных API-вызовов вместо учетной записи подсистемы вычислений?

Answer 1

Мне было просто интересно, как работает учетная запись вычислительного движка и пользователи Linux внутри этих вычислительных движков играют вместе.

Нет связи между учетной записью службы Google и пользователем Linux.

Если я войду в систему вычислений, я получу нового пользователя Linux с моим именем. Имеет ли этот пользователь те же разрешения, что и моя учетная запись Google?

Под учетной записью Google я предполагаю, что вы подразумеваете ту, которую вы используете для Gmail и т. Д. Нет никакой связи между пользователем Linux (именем пользователя) и вашей учетной записью Google.

Когда запускается экземпляр виртуальной машины Google Compute Engine, для него создаются учетные данные, которые сохраняются на сервере метаданных. Каждый пользователь может получить доступ к этим учетным данным. Учетные данные одинаковы для всех пользователей Linux в этом экземпляре. Разрешения для этих учетных данных управляются областями, заданными в консоли Google ИЛИ через служебную учетную запись, назначенную экземпляру.

Пользователь root на вычислительном движке использует Сервис вычислительного движка Аккаунт, который ожидается.

Неверное предположение. Пользователи Linux, включая root, получают доступ к учетным данным с сервера метаданных. Это могут быть области, назначенные экземпляру, или учетная запись службы. Обратите внимание, что учетные данные могут иметь нулевые разрешения.

Вновь созданный пользователь Linux также использует Сервис вычислительного движка Счет.

Тот же ответ на предыдущий вопрос.

Можете ли вы как-то настроить нового пользователя Linux для использования учетной записи Google для Облачные API-вызовы вместо учетной записи вычислительных движков?

Существует три типа учетных данных. Учетные данные учетной записи пользователя (OAuth 2.0), учетные данные учетной записи службы и ключи API.

Чтобы использовать учетные данные пользователя (например, свою учетную запись Google), вам необходимо запустить веб-браузер на виртуальной машине. По умолчанию виртуальные машины Google Compute Engine не имеют рабочего стола или графического интерфейса. Поэтому нет веб-браузера. Поэтому нет учетных данных учетной записи пользователя.

Вы можете создать файл Json учетной записи службы и использовать эти учетные данные для каждого пользователя или для каждого приложения. Вы также можете настроить Google SDK и Инструменты для использования определенной учетной записи службы (хранится в файле Json).

Последний вариант - API-ключи. Они используются только для определенных API.