【发布时间】:2018-06-11 20:07:03
【问题描述】:
现在每个人都可以访问 GCE 中的任何服务器,只要他们有 GCE 访问权限。 gcloud comput ssh 命令可以 ssh 进入任何服务器。
如何确保只有创建服务器的人才能访问?
【问题讨论】:
标签: google-cloud-platform google-compute-engine
【发布时间】:2018-06-11 20:07:03
【问题描述】:
可以通过OS Login实现基于GCE IAM roles对实例的访问控制:
在您在项目中的一个或多个实例上enable OS Login 之后, 这些实例只接受来自拥有 您的项目或组织中必要的 IAM 角色:
例如,您可以使用 以下流程:
Grant the necessary instance access roles 给用户。用户必须具有以下角色:
iam.serviceAccountUser角色。- 以下登录角色之一:
compute.osLogin角色,不授予管理员权限compute.osAdminLogin角色,授予管理员权限
但请注意,并非所有 GCE 映像系列都支持 OS Login:
以下图像系列尚不支持操作系统登录:
- 所有项目 coreos-cloud (CoreOS) 映像系列
- 项目 suse-cloud (SLES) 映像系列 sles-11
- 所有 Windows Server 和 SQL Server 映像系列
【讨论】:
-
或者,您可以通过添加和删除SSH keys in metadata来手动管理实例访问。