【发布时间】:2017-09-21 17:06:46
【问题描述】:
在 Google Cloud IAM 中,似乎没有一个角色被限制为只能停止/启动现有实例。
是否可以缩小权限范围以使给定用户只能启动/停止现有实例?
【问题讨论】:
标签: security google-cloud-platform access-control
【发布时间】:2017-09-21 17:06:46
【问题描述】:
目前不通过预定义的角色。
但是,使用 Custom Roles(目前处于 Alpha 阶段)您应该能够做到这一点:
目前,Google Cloud Identity and Access Management (IAM) 提供 提供对特定 Google Cloud 的精细访问权限的预定义角色 平台资源并防止对其他资源的不必要访问。
IAM 现在提供创建自定义 Cloud IAM 角色的功能。 在此版本中,您可以使用一个或多个自定义 IAM 角色 权限并向属于您的用户的用户授予自定义角色 组织。 Cloud IAM 提供了一个 UI 和 API,用于创建和 管理自定义角色。
【讨论】:
我正在尝试在问题发布两年后(2019 年 7 月 3 日)做同样的事情,但这仍然是不可能的,所以答案仍然是“不”,这是不可能的。
提供的一个答案没有提供任何直接信息,说明如何满足授予访问权限以仅允许这两个活动(启动/停止 GCE VM/实例)的要求,仅此而已。
它使您相信它确实如此,但它没有提供任何有关如何执行此操作的直接或有用的信息,因此具有误导性。
它说你“应该”能够做到这一点,但没有提供关于为什么自定义角色应该允许你这样做的信息。
如果用户离开并实际尝试这样做,他会发现这是不可能的,并且会回答:“不”,目前这是不可能的。
没有可用的细化权限,您可以添加到自定义角色来实现此目的。一个响应除了误导之外没有任何用处。
【讨论】: