我们在 Google Cloud 上的项目中拥有许多 Linux VM(Google 计算引擎)。我想允许用户(开发人员)仅使用 SSH 访问 Google 计算引擎。无法更改 VM 详细信息;只能通过 ssh 访问。我想使用 IAM 来控制这些用户如何访问实例。我不想使用密钥。
我认为这种方法使我更容易管理对虚拟机的访问,特别是对于即将离开的用户。
这可行吗?有意义吗?
G
答案1
以下是我在 Google 上找到的关于这个主题的内容
https://cloud.google.com/compute/docs/access/#granting_users_ssh_access_to_vm_instances
授予用户对虚拟机实例的 SSH 访问权限
如果您只想让用户能够使用 SSH 连接到虚拟机实例,但不想授予他们管理 Compute Engine 资源的权限,请将用户的公钥添加到项目,或将用户的公钥添加到特定实例。使用此方法,您可以避免将用户添加为项目成员,同时仍授予他们访问特定实例的权限。要了解有关 SSH 和管理 SSH 密钥的更多信息,请阅读 SSH 密钥概览。
请注意,如果您向项目成员授予roles/compute.instanceAdmin.v1角色,只要实例未设置为以服务账户运行,他们就可以使用 SSH 自动连接到实例。如果实例设置为以服务账户运行,您还必须授予roles/iam.serviceAccountActor角色,以便成员连接到实例。*
这不起作用。我按照这里的说明操作,但结果却是,虽然用户可以 ssh,但他们也可以编辑或克隆我不想要的实例。
将继续寻找....