我只是想知道计算引擎的服务帐户和这些计算引擎中的Linux用户如何一起玩。
如果我登录计算引擎,则会获得一个新Linux用户名。此用户是否具有与我的Google帐户相同的权限?
计算引擎上的root用户使用预期的计算引擎的服务帐户。
新创建的Linux用户还使用计算引擎的服务帐户。
您能否以某种方式将新的Linux用户配置为使用Google帐户进行Cloud API调用,而不是使用Compute engine帐户?
答案 0 :(得分:1)
我只是想知道计算引擎的服务帐户和 这些计算引擎中的Linux用户可以一起玩。
Google服务帐户与Linux用户之间没有任何关系。
如果我登录计算引擎,则会获得一个新Linux用户名。 此用户是否具有与我的Google帐户相同的权限?
通过Google帐户,我假设您是指用于Gmail等的帐户。Linux用户(用户名)与您的Google帐户之间没有任何关系。
启动Google Compute Engine VM实例时,将为该实例创建凭据并将其存储在元数据服务器中。每个用户都可以访问这些凭据。该实例上的所有Linux用户的凭据均相同。这些凭据的权限由在Google控制台中设置的范围或通过分配给实例的服务帐户来管理。
计算引擎上的root用户使用计算引擎的服务 帐户,这是预期的。
错误的假设。包括root用户在内的Linux用户从元数据服务器访问凭据。这可以是分配给实例的范围,也可以是服务帐户。请注意,凭据可以具有零权限。
新创建的Linux用户还使用计算引擎的服务 帐户。
上一个问题是相同的答案。
您能以某种方式配置新的Linux用户以使用Google帐户进行以下操作吗? 云API调用而不是计算引擎帐户?
有三种类型的凭据。用户帐户凭据(OAuth 2.0),服务帐户凭据和API密钥。
要使用用户帐户凭据(例如,您的Google帐户),您需要在VM中启动网络浏览器。默认情况下,Google Compute Engine虚拟机没有桌面或GUI。因此,没有网络浏览器。因此,没有用户帐户凭据。
您可以创建服务帐户Json文件,并按每个用户或每个应用程序使用这些凭证。您还可以将Google SDK和工具配置为使用特定的服务帐户(存储在Json文件中)。
最后一个选项是API密钥。这些仅用于某些API。