我有一个人(a)负责管理Google Cloud上的Windows实例,另一个人管理我们的Ubuntu实例。我想允许第一人在Windows实例上具有启动,停止,重置,更改元数据/实例大小和以admin身份登录的权限,但是我不希望他们有权在任何实例上执行这些操作。 Ubuntu实例。所有实例都是同一个项目的一部分。
是否可以在实例级别授予此类权限,而无需为项目中的所有实例授予此类权限?
答案 0 :(得分:1)
Google Compute Engine支持指定用于实例的服务帐户。
我建议创建一个新的服务帐户,分配项目编辑者角色,然后将该服务帐户分配给需要此权限级别的实例。
我不建议使用Compute Engine范围来控制权限。指定服务帐户所需的角色,将服务帐户分配给Compute Engine并指定“允许对所有Cloud API的完全访问权限”。实际权限将由服务帐户角色控制。在某些情况下,作用域过于精细。
我写了一篇文章,深入探讨了Compute Engine服务帐户。
答案 1 :(得分:0)
GCP允许在Compute Engine实例上提供精细的权限。在以下位置找到的文档中似乎对此进行了很好的记录:
Granting access to Compute Engine resources
在最高级别,我们可以通过Cloud Console或通过gcloud命令分配权限。
答案 2 :(得分:0)
我无法找到一种方法来执行此操作,因为Google Cloud的“ IAM”部分无法提供该方法。但是,您可以从Cloud Engine-VM实例页面分配特定于实例的角色和权限: