Ограничение доступа пользователей для ВМ в gcp

Question

Предположим, что два пользователя, A и B, имеют полный доступ к проекту GCP. Пользователь А создает ВМ. Как только это будет сделано, кажется, что пользователь B может войти в виртуальную машину, а также имеет доступ sudo к виртуальной машине.

мы использовали метаданные enable-oslogin, но у нас есть проблема, когда пользователь a и b принадлежат к одной группе, Есть ли другой способ, чтобы я мог ограничить доступ для пользователя B

Answer 1

Согласно документам у вас есть 2 варианта.

1. Управление доступом к экземпляру С помощью входа в систему ОС эта функция предоставляет более детальный контроль над тем, какие пользователи могут подключаться к вашим экземплярам и каким уровнем разрешений они обладают. Если вы удалите roles/compute.osLogin, пользователь не сможет получить доступ к любой виртуальной машине в проекте docs .

2. Чтобы предоставить пользователю доступ к указанному c экземпляр поверх S SH только документы вы можете выполнить следующие шаги:

   • Добавить этого пользователя в команду проекта с доступом к представлению
   • Пусть этот пользователь сгенерирует ключ publi c S SH, используя s sh -keygen и предоставляющий вам этот ключ
   • Перейдите на панель экземпляров в разделе Compute Engine облачной консоли, выбрав экземпляр, который вы хотите предоставить доступ пользователя
   • Нажмите «Добавить метаданные» и введите «sshKeys» для ключа и «:», где username - строка в учетной записи пользователя перед «@», а s sh - ключ, который пользователь сгенерирован на шаге 2.