我有一个由其他人通过 GCP 控制台设置的 GCP 云,具有默认权限。其中有一些存储桶、计算引擎虚拟机和云运行服务。我正在将其移动到 Terraform 部署,并希望收紧权限。我看到默认情况下,有许多服务帐户在项目级别具有权限(服务代理角色绑定),这意味着它们对项目中的所有内容都具有这些权限。例如,角色 Compute Engine Service Agent具有 storage.objects.create storage.objects.get storage.objects.list storage.objects.update 并且该Cloud...
我有一个要求,需要使用跨项目访问 Google Ads (Adwords) 服务。也就是说,ProjectA 中有一个 VM,该 VM 有一个服务帐户。它具有对 ProjectB 的跨项目访问权限,ProjectB 中有一个 IAM 成员,允许服务帐户“编辑者”访问,该成员(希望)提供对 Adwords 的访问权限(“编辑者”角色是基本的、通用的角色)。 我知道我的服务帐户 -> IAM 成员链接允许在 ProjectB 中拥有比应有的更多的访问权限。我希望通过任何可能的方式限制它。但是,我找不到任何看起来合适的内置角色,而且我无法创建自己的自定义角色...
在我们的 Google Cloud 项目中,我们已向某些用户授予以下 IAM 角色,但他们无法更改审计日志设置。 项目编辑器 日志管理员 当我尝试更改数据访问审计日志的默认配置时,出现一条消息说我没有足够的权限。 当授予项目所有者角色时,可以更改配置,但在实际环境中权限太强,因此无法授予所有者权限。请问我需要授予此用户什么权限才能更改审计日志设置? ...
我可以使用以下方式询问服务帐户的详细信息 gcloud iam service-accounts describe <SA-email> --project=<PROJECT> 这将提供描述、显示名称、OAuth 客户端等。但如果我尝试查找有关默认的 Google 生成帐户的信息,它将失败并出现错误。例如, gcloud iam service-accounts get-iam-policy <project_number>@cloudbuild.gserviceaccount.com 失败 ERROR: (gclou...
创建运行最新 Ubuntu LTS 的虚拟机后,我想使用 SSH 连接到它。 当我登录时,我看到这个屏幕: 我从 g.co/sc 获得了一个新代码 当我在浏览器中的 SSH 中输入该代码时,相同的屏幕再次出现。 我究竟做错了什么? 1)虚拟机设置 机器配置 类型:E2 标准 4(4 vCPU,16 GB RAM) 显示设备:启用 启动盘 操作系统:Ubuntu LTS x86/64 身份和 API 访问 防火墙:允许 HTTPS 流量 安全 屏蔽虚拟机:打开安全启动 虚拟机访问 通过 IAM 权限控制虚拟机访问 需要两步验证 自定义元...
我有一个客户希望将 200GB 的敏感数据传输给我们。我希望他们将这些数据上传到 GCloud 存储桶。 设置外部用户以访问单个新存储桶并能够上传的最佳方法是什么? ...
[email protected]因此,我有一个可以访问角色 A 和 B 的Google 云服务帐户。 我需要有服务帐户 2[email protected]来访问角色 A、B,和C。 我如何才能sa-2获得相同的访问权限sa-1以及其他访问权限? 我尝试sa-2以负责人的身份添加sa-1该Service Account Admin角色。 IAM 和管理 服务帐户 选择sa-1 “+ 授予访问权限” sa-2在下拉列表中指定New principals 点击“保存” 但是使用该帐户访问 GCP 服务仍然被拒绝sa-2。 我正在尝试获取...
我使用 Ubuntu 22.04 映像创建了一个虚拟机,并使用 IAM 凭证(而不是 SSH 密钥)登录,例如: gcloud beta compute ssh --zone myzone vmname --project myproj --tunnel-through-iap 我的命令提示符有我想要的用户名。 我刚刚创建了另一个虚拟机,它使用我的默认用户名ariel_balter_gmail_com。 我不知道我对第一个虚拟机做了什么才使我的用户名变成我想要的。 在第一台机器上,我看到: (base) balter@???????:~$ ls /home ...
我想在 GCP 中的项目中创建一个警报,当新用户或服务帐户添加到项目中时,它会通知我。我知道我需要使用日志资源管理器并运行查询,但我不确定要运行什么查询。 谢谢! ...
我想将 OS Login 与 GCP 结合使用,因为我们使用 IAM 来限定对 GCP 内所有其他资源(存储桶、SQL、Redis 等)的访问范围。我了解如何限制用户使用服务帐户和角色访问机器。 但是,我不明白如何限制某人可能用来通过 SSH 进入我们的 Compute Engine 机器的用户名。假设我们有一个配置了 OS Login 的 VM。问题是每个人都使用 CLI 字符串进行连接,例如 gcloud compute ssh $MACHINE_NAME(可能创建然后)登录到/home/$USER_DOMAIN_SUFFIX目录。因此,团队的 shel...
我最近读到了有关 GCP 中的条件以及如何使用它们为角色添加逻辑的文章。我想为用户提供一个角色,以便将角色分配给服务帐户。但如果我这样做,用户也将能够邀请其他用户加入项目,而这是我不希望看到的。 我尝试过类似的事情: gcloud projects add-iam-policy-binding <project> --member="user:[email protected]" --role="roles/accesscontextmanager.policyEditor" --condition='title="allow_admi...
我有一个具有统一权限(无对象级 ACL)的存储桶,并且我的帐户在项目中具有所有者角色,该角色应授予对所有资源的完全访问权限。我甚至尝试添加存储管理员/存储对象管理员/旧版对象所有者角色,但仍然无法访问我的存储桶中的对象。 当我使用 IAM 策略故障排除程序时,它可以成功拨打storage.objects.get电话。 当我尝试查看对象时,Google Cloud Console 给出的确切错误 查看此对象的元数据所需的额外权限:请求对象所有者授予您“storage.objects.get”权限(例如,通过授予您的帐户 IAM 存储管理员角色)。 这些对象...
我正在设置一个服务帐户以从 GKE 访问 CloudSQL DB。我已经创建了 GSA 和 KSA,并执行了将两者关联的命令 ( )。如何检查绑定以确保我的调用成功?我原本以为会有类似显示状态的gcloud iam service-accounts add-iam-policy-binding...命令。gcloud iam service-accounts list-iam-policy-binding ... ...
我想运行一个 Google Cloud 函数,重命名 Google Directory 中的 posixAccounts -> {username,homeDirectory}。我希望在成功运行 GCDS 后可以触发该函数。这可能吗?有没有更好的方法可以在 GCDS 之后更改这些属性? ...
