我正在尝试使用GCloud IAM权限在GCP基础结构上按实例级别设置权限(例如,可以在计算机A上进行SSH,但不能在计算机B上进行SSH)。
但是,我遇到了一个奇怪的行为。
如果将用户添加到仅具有Compute Viewer
权限的GCloud项目中,则该用户将能够在Compute Engine
部分中的所有 VM设置上使用SSH。
这没有任何意义,因为文档本身指出您无法使用Compute Viewer
:https://cloud.google.com/compute/docs/access/
此外,当我尝试为每个特定实例设置权限时(进入Compute Engine
> VM Instances
,选择一个特定实例并从“权限”选项卡中添加权限),这些似乎没有效果。
不确定我是否错过了一些事情:
Compute Viewer
允许使用SSH?答案 0 :(得分:1)
您可以使用操作系统登录名在实例级别manage SSH access。
对Compute Viewer的访问权限不足以通过SSH进入VM实例。
您需要compute.instances.setMetadata之一, compute.projects.setCommonInstanceMetadata或 compute.instances.osLogin(启用OsLogin)和 iam.serviceAccounts.actAs。
我也刚刚对其进行了测试,以确认并收到上述错误。
由于IAM角色Compute Viewer不够,您可能已经为您的用户分配了一些其他角色/权限,需要在项目中进行审核。