В наших проектах в облаке Google есть несколько виртуальных машин Linux (вычислительных машин Google). Я хочу разрешить пользователям (разработчикам) доступ к вычислительным машинам Google только по SSH. Нет возможности изменять детали ВМ; просто доступ по ssh. Я хочу использовать IAM для управления доступом этих пользователей к экземпляру. Я не хочу пользоваться ключами.
этот подход (я чувствую) облегчает мне управление доступом к виртуальным машинам, особенно для уходящих пользователей.
Возможно ли это? Есть смысл?
грамм
Вот что я нашел по теме от Google
https://cloud.google.com/compute/docs/access/#granting_users_ssh_access_to_vm_instances
* Предоставление пользователям SSH-доступа к экземплярам виртуальных машин
Если вы просто хотите предоставить пользователю возможность подключаться к экземпляру виртуальной машины с помощью SSH, но не хотите предоставлять ему возможность управлять ресурсами Compute Engine, добавьте открытый ключ пользователя в проект или добавьте общедоступный пользовательский ключ к конкретному экземпляру. Используя этот метод, вы можете избежать добавления пользователя в качестве участника проекта, но при этом предоставить ему доступ к определенным экземплярам. Чтобы узнать больше о SSH и управлении ключами SSH, прочтите Обзор ключей SSH.
Обратите внимание: если вы предоставите роль role / compute.instanceAdmin.v1 участнику проекта, он сможет автоматически подключаться к экземплярам с помощью SSH, если экземпляр не настроен для работы в качестве учетной записи службы. Если экземпляр настроен для работы в качестве учетной записи службы, необходимо также предоставить роль role / iam.serviceAccountActor, чтобы член мог подключиться к экземпляру. *
Это не работает. Я следил за тем, что находится здесь, но произошло то, что, хотя пользователь может использовать ssh, он также может редактировать или клонировать экземпляр, который мне не нужен.
Будем искать ....