Compute Engine Linux用户及其与服务帐户的关系

时间:2019-01-10 09:38:42

标签: linux google-cloud-platform authorization google-compute-engine google-iam

我只是想知道计算引擎的服务帐户和这些计算引擎中的Linux用户如何一起玩。

如果我登录计算引擎,则会获得一个新Linux用户名。此用户是否具有与我的Google帐户相同的权限?

计算引擎上的root用户使用预期的计算引擎的服务帐户。

新创建的Linux用户还使用计算引擎的服务帐户。

您能否以某种方式将新的Linux用户配置为使用Google帐户进行Cloud API调用,而不是使用Compute engine帐户?

1 个答案:

答案 0 :(得分:1)

  

我只是想知道计算引擎的服务帐户和   这些计算引擎中的Linux用户可以一起玩。

Google服务帐户与Linux用户之间没有任何关系。

  

如果我登录计算引擎,则会获得一个新Linux用户名。   此用户是否具有与我的Google帐户相同的权限?

通过Google帐户,我假设您是指用于Gmail等的帐户。Linux用户(用户名)与您的Google帐户之间没有任何关系。

启动Google Compute Engine VM实例时,将为该实例创建凭据并将其存储在元数据服务器中。每个用户都可以访问这些凭据。该实例上的所有Linux用户的凭据均相同。这些凭据的权限由在Google控制台中设置的范围或通过分配给实例的服务帐户来管理。

  

计算引擎上的root用户使用计算引擎的服务   帐户,这是预期的。

错误的假设。包括root用户在内的Linux用户从元数据服务器访问凭据。这可以是分配给实例的范围,也可以是服务帐户。请注意,凭据可以具有零权限。

  

新创建的Linux用户还使用计算引擎的服务   帐户。

上一个问题是相同的答案。

  

您能以某种方式配置新的Linux用户以使用Google帐户进行以下操作吗?   云API调用而不是计算引擎帐户?

有三种类型的凭据。用户帐户凭据(OAuth 2.0),服务帐户凭据和API密钥。

要使用用户帐户凭据(例如,您的Google帐户),您需要在VM中启动网络浏览器。默认情况下,Google Compute Engine虚拟机没有桌面或GUI。因此,没有网络浏览器。因此,没有用户帐户凭据。

您可以创建服务帐户Json文件,并按每个用户或每个应用程序使用这些凭证。您还可以将Google SDK和工具配置为使用特定的服务帐户(存储在Json文件中)。

最后一个选项是API密钥。这些仅用于某些API。