现在每个人都可以访问GCE中的任何服务器,只要他们有GCE访问权限。 gcloud comput ssh命令可以ssh到任何服务器。
如何确保只有创建服务器的人才有权访问?
答案 0 :(得分:2)
可以通过GCE IAM roles基于OS Login对实例实施访问控制:
在项目中的一个或多个实例上enable OS Login之后, 这些实例仅接受来自具有的用户帐户的连接 您的项目或组织中必要的IAM角色:
例如,您可以向用户授予实例访问权限 以下过程:
Grant the necessary instance access roles给用户。用户必须具有以下角色:
iam.serviceAccountUser角色。- 以下登录角色之一:
compute.osLogin角色,不授予管理员权限compute.osAdminLogin角色,授予管理员权限
但请注意,并非所有GCE图像系列都支持OS Login:
以下图片系列尚不支持操作系统登录:
- 所有项目coreos-cloud(CoreOS)图像系列
- Project suse-cloud(SLES)image family sles-11
- 所有Windows Server和SQL Server映像系列