Сейчас каждый может получить доступ к абсолютно любому серверу в GCE, если у него есть доступ к GCE.Команда gcloud comput ssh может подключиться по ssh к любому серверу.
gcloud comput ssh
Как сделать так, чтобы доступ имел только тот, кто создал сервер?
Возможно реализовать управление доступом к экземплярам на основе ролей GCE IAM через Вход в ОС :
После того, как включит вход в систему ОС в одном или нескольких экземплярах вашего проекта эти экземпляры принимают подключения только от учетных записей пользователей, имеющих необходимые роли IAM в вашем проекте или организации: Например, вы можете предоставить пользователям доступ к экземплярам.с помощью следующего процесса: Предоставьте необходимые роли доступа к экземпляру пользователю.У пользователей должны быть следующие роли: Роль iam.serviceAccountUser. Одна из следующих ролей входа в систему: Роль compute.osLogin, которая непредоставлять права администратора Роль compute.osAdminLogin, которая предоставляет разрешения администратора
После того, как включит вход в систему ОС в одном или нескольких экземплярах вашего проекта эти экземпляры принимают подключения только от учетных записей пользователей, имеющих необходимые роли IAM в вашем проекте или организации:
Например, вы можете предоставить пользователям доступ к экземплярам.с помощью следующего процесса:
Предоставьте необходимые роли доступа к экземпляру пользователю.У пользователей должны быть следующие роли:
iam.serviceAccountUser
compute.osLogin
compute.osAdminLogin
Но обратите внимание, что не все изображения GCEСемейства имеют поддержку входа в ОС:
Следующие семейства образов еще не поддерживают вход в систему ОС: Все семейства образов coreos-cloud (CoreOS) проекта Семейство образов Project Suse-Cloud (SLES) sles-11 Все семейства образов Windows Server и SQL Server
Следующие семейства образов еще не поддерживают вход в систему ОС: