我正在使用 gcutil 访问 Google Compute Engine 实例。
我注意到,当我启动一个新实例时,新实例有一个我在该项目的前一台机器上使用过的用户。
我想删除该用户 - 不仅仅是从这台机器上删除,这当然可以通过正常的 *nix 进程来完成,但是,我想确保它不会用于任何未来的 Compute Engine 实例。
我该怎么做?
【问题讨论】:
标签: google-compute-engine gcutil google-cloud-platform
默认情况下,一旦用户运行 gcloud auth login 命令并通过云项目进行身份验证,他们的 ssh 密钥就会添加到项目计算引擎 Common metadata,存储在 sshKeys 键/值对下,然后由项目中的所有实例继承,提供通过 ssh 登录到实例的访问权限。
要防止现有用户对项目实例拥有 ssh 权限,您需要修改此值,只保留您希望访问的用户的公钥。这可以在您项目的 Cloud Console 中的 Compute Engine 下找到,然后在 Metadata 下找到。在您的情况下,所有用户可能都是您,只是从不同的客户端登录。
但是您不能从那里修改现有元数据,您需要使用 gcutil setcommoninstancemetadata 命令重新插入修改后的 sshKeys 值(请参阅https://developers.google.com/compute/docs/metadata#common),根据我的实验,这似乎是重置项目的 ALL 通用元数据,因此如果您在项目中设置的不仅仅是默认 sshKey,则需要同时从命令行重新添加它们。
【讨论】: