Google Cloud Compute Viewer позволяет SSH, пока он не должен

Question

Я пытаюсь настроить разрешения на уровне каждого экземпляра в нашей инфраструктуре GCP (например, может ли SSH на компьютере A, но не на компьютере B), используя разрешения GCloud IAM.

Однако я столкнулся сстранное поведение.

Если я добавлю пользователя в проект GCloud только с разрешением Compute Viewer, этот пользователь сможет использовать SSH на всех настройках виртуальной машины в Compute Enginesection.

Это не имеет смысла, так как в самой документации указано, что вы не можете использовать SSH с Compute Viewer: https://cloud.google.com/compute/docs/access/

Кроме того, когда я пытаюсь установить разрешения для каждого конкретного экземпляра(зайдя в Compute Engine> VM Instances, выбрав конкретный экземпляр и добавив разрешения на вкладке разрешений), кажется, что они буквально не действуют.

Не уверен, что я что-то пропустил:

• почему Compute Viewer разрешает SSH?
• почему разрешения для каждого экземпляра не действуют?

Answer 1

Вы можете управлять доступом по SSH на уровне экземпляра с помощью входа в ОС.

Доступ к Compute Viewer не является достаточной привилегией для доступа SSH к экземпляру виртуальной машины.

Вам необходим один из следующих: compute.instances.setMetadata, compute.projects.setCommonInstanceMetadata или compute.instances.osLogin (с включенным OsLogin) и iam.serviceAccounts.actAs.

Я только что проверил и подтвердил и получил вышеуказанную ошибку.

Возможно, вы назначили пользователям некоторые другие роли / разрешения, которые необходимо просмотреть в вашем проекте, поскольку роли IAM недостаточно для просмотра вычислений..