Question

У меня есть один человек (а), который отвечает за администрирование наших экземпляров Windows в Google Cloud, а другой человек управляет нашими экземплярами Ubuntu.Я хочу разрешить первому человеку иметь разрешение на запуск, остановку, сброс, изменение метаданных / размера экземпляра и вход в систему с правами администратора на экземплярах Windows, но я не хочу, чтобы у них был доступ для выполнения этих действий на любом изЭкземпляры Ubuntu.Все экземпляры являются частью одного и того же проекта.

Есть ли способ предоставить такие разрешения на уровне экземпляра, не предоставляя их всем экземплярам в проекте?

John Hanley · Answer 1 · 20 июня 2019

Google Compute Engine поддерживает указание учетной записи службы, которая будет использоваться для экземпляра.

Я рекомендую создать новую учетную запись службы, назначить роль редактора проекта, а затем назначить эту учетную запись службы экземплярам, для которых требуется данный уровень разрешения..

Я не рекомендую использовать области Compute Engine для управления разрешениями.Укажите нужные роли для учетной записи службы, назначьте учетную запись службы для Compute Engine и укажите «Разрешить полный доступ ко всем облачным API».Фактические разрешения будут контролироваться ролями учетной записи службы.В некоторых случаях области видимости слишком детализированы.

Я написал статью, которая углубляется в учетные записи службы Compute Engine.

Google Cloud - учетные записи службы Compute Engine

Code Commander · Answer 2 · 19 июля 2019

Мне не удалось найти способ сделать это, потому что он недоступен в разделе "IAM" в Google Cloud.Однако можно назначить роли и разрешения для конкретного экземпляра на странице Cloud Engine - экземпляры виртуальной машины:

Перейдите на страницу экземпляров виртуальной машины Computer Engine: https://console.cloud.google.com/compute/instances
Установите флажокрядом с экземплярами, которым вы хотите назначить роли, специфичные для экземпляра.
Нажмите «Показать информационную панель».
В «информационной панели» в правой части экранав разделе «Разрешения» нажмите «Добавить участников».
Выберите участников / роли, которые вы хотите назначить, и нажмите «Сохранить».

Kolban · Answer 3 · 20 июня 2019

GCP позволяет предоставлять точные разрешения для экземпляров Compute Engine.Как представляется, это хорошо задокументировано в документации по адресу:

Предоставление доступа к ресурсам Compute Engine

На самом высоком уровне мы можем назначать разрешения либо через Cloud Console, либочерез команду gcloud.

Как предоставить роль «редактор» только одному или двум конкретным экземплярам Google Cloud Compute Engine?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как предоставить роль «редактор» только одному или двум конкретным экземплярам Google Cloud Compute Engine?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов