我在Google Compute Engine项目中创建了一个全新的实例,我在日志中看到实例从元数据创建新帐户。创建的部分帐户已从项目权限中删除。
例如在项目权限中,我有:
nnnn@project.gserviceaccount.com
realuser1@gmail.com
realuser2@gmail.com
myownacct@domain.com
projectname@appspot.gservice.com
realuser3@gmail.com
来自实例创建的日志条目显示它正在实例中为已从项目中删除的用户创建用户帐户。它也没有显示添加到项目权限的realuser3。
(instance-name) accounts-from-metadata: INFO Creating account (deleted1 user account)
(instance-name) accounts-from-metadata: INFO Creating account (realuser1 user account)
(instance-name) accounts-from-metadata: INFO Creating account (myownacct user account)
(instance-name) accounts-from-metadata: INFO Creating account user
(instance-name) accounts-from-metadata: INFO Creating account ubuntu
(instance-name) accounts-from-metadata: INFO Creating account (deleted2 user account)
(instance-name) accounts-from-metadata: INFO Creating account (previous google support user)
我希望看到realuser3,我不希望没有项目权限的已删除用户在新图像上创建帐户。
答案 0 :(得分:3)
虚拟机内的帐户与有权操作API的帐户是分开的。
VM中的帐户来自VM看到的sshKeys元数据值。这是VM特定元数据和项目元数据的联合。
默认情况下,gcutil会提示您创建密钥并使用该密钥和sshKeys展开$USER元数据值。查看和编辑此内容的最简单方法是Cloud Console。关于ssh进入实例here的更多细节。
答案 1 :(得分:0)
谢谢,这回答了我的问题。
$ gcutil getproject - 确实显示了权限页面中不存在的帐户的sshKeys。
权限页面: https://cloud.google.com/console/project/apps~(project)/teams
元数据页面: https://cloud.google.com/console/project/apps~(project)/compute/metadata
导航到元数据页面(位于计算引擎下,而不是主项目)并删除所有sshKeys条目,删除了重新出现的帐户。