Google Cloud: запретить пользователям синхронизироваться с другими экземплярами

Question

Я хочу, чтобы экземпляр имел локального пользователя с целью запуска и владения службой в этом экземпляре.Я попытался создать его с помощью простого

adduser <username>

, а также следующего: https://cloud.google.com/compute/docs/instances/adding-removing-ssh-keys#instance-only, в соответствии со следующим

instance_a='<instance_a>'

ssh-keygen -t rsa -C "test_ssh_key"
gcloud compute instances add-metadata $instance_a --metadata-from-file ssh-keys=test_ssh_key.pub
gcloud compute ssh $instance_a --ssh-key-file='test_ssh_key'

Однако в обоих случаях созданный пользовательавтоматически синхронизируется со всеми другими запущенными экземплярами в проекте.Кроме того, во втором случае я могу использовать ssh во втором экземпляре, хотя в документации сказано, что это для одного экземпляра, несмотря на то, что ключ ssh не отображается с

gcloud compute instances describe $instance_a

Обратите внимание, что ssh сВновь созданный ключ работает с использованием gcloud compute ssh и обычного ssh.

Кто-нибудь знает, как правильно создать действительно локального пользователя в экземпляре или, альтернативно, отключить службу синхронизации пользователей, не имеющих входа ssh?

Answer 1

Вы не можете сделать это, используя управляемые Google ключи SSH (когда вы используете gcloud compute ssh). Использование SSH уровня экземпляра будет работать (как и вы), просто убедитесь, что удалили все метаданные уровня проекта для того же пользователя.

Также убедитесь, что новый пользователь полностью ограничен: A) Убедитесь, что у пользователя нет разрешений IAM на использование управляемого SSH с помощью Google B) Ограничьте области действия учетной записи службы по умолчанию в экземпляре, чтобы пользователи не использоваличтобы обойти меры безопасности, которые у вас на месте.