Разрешение на доступ к серверу метаданных Compute Engine предоставляется экземпляру виртуальной машины. Вы не можете выборочно ограничивать доступ к частям.
Для большинства операций экземпляра виртуальной машины метаданные не требуются. Он предназначен для таких элементов, как сценарии запуска, настраиваемые параметры безопасности, такие как ключи S SH и т. Д. c.
. Вы можете запретить доступ к серверу метаданных, удалив все области в экземпляре виртуальной машины.
Отключение доступа к серверу метаданных означает, что вы не можете назначить учетной записи службы по умолчанию экземпляр. Для приложений, которым не требуется доступ к другим службам Google Cloud, это нормально.
Это оставляет вам выбор «все или ничего». Либо включите доступ к метаданным, либо отключите доступ к ним.
Информация в Tutorial on privilege escalation предоставляет полезную информацию. Если ваш экземпляр виртуальной машины может быть взломан и получен локальный логин, у вас серьезная проблема. Присвоение минимального уровня привилегии экземпляру помогает уменьшить ущерб другим ресурсам и доступ к информации. Рекомендации по обеспечению безопасности означают, что вы защищаете экземпляр виртуальной машины так, чтобы нарушение не могло произойти. Когда злоумышленник находится внутри машины, метаданные - это лишь одна из многих забот.