Google Cloud Compute Viewer允许SSH,但不应

时间:2018-12-19 00:39:31

标签: google-cloud-platform google-compute-engine google-iam

我正在尝试使用GCloud IAM权限在GCP基础结构上按实例级别设置权限(例如,可以在计算机A上进行SSH,但不能在计算机B上进行SSH)。

但是,我遇到了一个奇怪的行为。

如果将用户添加到仅具有Compute Viewer权限的GCloud项目中,则该用户将能够在Compute Engine部分中的所有 VM设置上使用SSH。

这没有任何意义,因为文档本身指出您无法使用Compute Viewerhttps://cloud.google.com/compute/docs/access/

SSH

此外,当我尝试为每个特定实例设置权限时(进入Compute Engine> VM Instances,选择一个特定实例并从“权限”选项卡中添加权限),这些似乎没有效果。

不确定我是否错过了一些事情:

  • 为什么Compute Viewer允许使用SSH?
  • 每个实例的权限为何无效?

1 个答案:

答案 0 :(得分:1)

您可以使用操作系统登录名在实例级别manage SSH access

对Compute Viewer的访问权限不足以通过SSH进入VM实例。

  

您需要compute.instances.setMetadata之一,   compute.projects.setCommonInstanceMetadata或   compute.instances.osLogin(启用OsLogin)和   iam.serviceAccounts.actAs。

我也刚刚对其进行了测试,以确认并收到上述错误。

由于IAM角色Compute Viewer不够,您可能已经为您的用户分配了一些其他角色/权限,需要在项目中进行审核。