- Подведите итог проблемы
Я хочу предоставить пользователю возможность выполнять эти три действия только на GCE.
- запустить конкретный экземпляр(из консоли или любым другим способом)
- остановите тот же конкретный экземпляр
- ssh (прямая команда ssh или gcloud ssh)
и ничего более.Просто и только 1. & 2. также будет работать, так как не нужно предоставлять разрешения GCE для разрешения ssh (может быть сделано через ssh).
У пользователя не будет никаких прав для редактирования экземпляра каким-либо образом, не сможет удалить экземпляр, не сможет добавить или удалить диски или изменить какой-либо аспект работы в сети, а также пользователь не сможет запускать / останавливать или использовать ssh для других виртуальных машин GCE в том же проекте.
Я хочу создать роль, которая будет привязана к конкретной существующей виртуальной машине, и предоставить эти три разрешения (или комбинацию разрешений, которые позволят эти три действия) конкретному пользователю с учетной записью GCP.
Предоставьте справочную информацию, включая то, что вы уже попробовали.
Я полностью прочитал всю документацию IAM / ролей для GCE.Я не вижу способа применить эти мелкозернистые разрешения к конкретной существующей виртуальной машине.
Ссылка: https://cloud.google.com/compute/docs/access/iam
Это документ, который я читаю, в поисках ответов.Я не вижу здесь ничего, что позволило бы это.
Я надеюсь, что что-то упустил, что есть какая-то магия или заклинание, которые позволили бы это.
Опишите ожидаемые и фактические результаты, включая любые сообщения об ошибках
Из прочитанной мною документации любые разрешения, которые могут быть предоставлены, слишком далеко достигают.Это, по-видимому, дает все (возможность редактировать экземпляр, включая создание, изменение других экземпляров ВМ) или ничего вообще.