Как предоставить доступ к единственному вычислительному экземпляру на GCP?

Question

Я пытался понять это, но пока не повезло.Удивительно сложно достичь этого по сравнению с AWS.

У меня есть проект Google Cloud Platform (GCP) с несколькими запущенными экземплярами Compute и другими службами.

Мне нужно предоставить root-доступ для одного вычисленияэкземпляр, но не какая-либо другая служба для внешней группы разработки.

В представлении «Compute Engine», когда я выбираю экземпляр и добавляю пользователя в качестве Compute Admin (полный контроль над всеми ресурсами Compute Engine), но он по-прежнему не можетssh в экземпляр.

Попытка № 1:

Ошибка: «Требуется compute.instance.get разрешение.»

Итак, я пошел идал этому пользователю роль, которая включала это разрешение.

Попробуйте №2:

Получена ошибка "У пользователя нет доступа к служебной учетной записи ..."

Вопросы № 1 Что нужно сделать, чтобы просто предоставить роли доступ к единственному экземпляру вычислений в GCP?

В AWS есть особая роль, которой можно датьдоступ к одному ресурсу, но это, кажется,быть здесь.

Вопросы # 2 Кроме того, какова цель правой боковой панели «Разрешения» в представлении «Compute Engine», если это на самом деле не дает никаких разрешений.

Спасибо!

Answer 1

У меня была такая же проблема, и я нашел решение.Я постараюсь ответить на ваши вопросы:

Вопрос # 1: Что нужно сделать, чтобы просто дать роль доступ к единственному экземпляру вычислений в GCP?

Вам необходимо предоставитьиспользуйте следующие разрешения:

1- На главной странице IAM https://console.cloud.google.com/iam-admin/iam?project=your_project предоставьте пользователю роли «Просмотр вычислений» и «Пользователь учетной записи службы».

2- ВСтраница виртуальных машин, https://console.cloud.google.com/compute/instances?folder=&organizationId=&project=your_project,, выберите одну или несколько виртуальных машин и предоставьте пользователю роль «Compute Instance Admin (v1)».

Теперь пользователь может подключиться к виртуальной машине по SSH.

Вопросы №2. Кроме того, какова цель правой боковой панели «Разрешения» в представлении «Вычислительный движок», если это фактически не дает никаких разрешений.

В GCP есть уровень проекта и уровень ресурса.разрешения.Правая боковая панель «Разрешения» в «Compute Engine» устанавливает разрешения для отдельного ресурса.

Надеюсь, это поможет!

Answer 2

В этой ссылке вы найдете различные способы добавления новых пользователей в свой проект и настройки управления доступом для ресурсов Compute Engine.

Примечание. Если вы хотите назначить пользовательский SSH экземплярам виртуальной машины, но запретить доступ ко всем API, добавьте пользовательские ключи SSH в проект или экземпляр вместо добавления пользователя в проект и предоставления им широкого диапазона.разрешения.

Если вы хотите предоставить пользователям только SSH-доступ к экземплярам виртуальной машины, вы можете добавить открытый ключ пользователя в проект или добавить открытый ключ пользователя в конкретный экземпляр.Это упомянуто в ссылке здесь .

Управление доступом к экземпляру С помощью входа в систему ОС эта функция предоставляет более детальный контроль над тем, какие пользователи могут подключаться к вашим экземплярам и каким уровнем разрешений они обладают.Для получения дополнительной информации см. этот документ .