一直在尝试解决这个问题,但迄今为止没有成功。与AWS相比,这似乎是一个非常棘手的问题。
我有一个谷歌云平台(GCP)项目,其中包含多个计算实例和其他正在运行的服务。
我需要将根访问权限授予单个计算实例,但不授予对任何其他服务的访问权限,以便给外部开发团队使用。
在“计算引擎”视图中,当我选择该实例并将用户添加为计算管理员(拥有所有计算引擎资源的完全控制权)时,但他仍无法通过 ssh 连接到该实例。
尝试#1:
出现错误:“需要compute.instance.get权限。”
所以我去给那个用户分配了一个角色,其中包括该权限。
尝试#2:
出现错误:“用户无法访问服务帐号...”
问题#1:
到底需要做些什么才能在GCP中仅给某个实例赋予角色访问权限呢?
在AWS上,可以给定一个特定的角色来访问单个资源,但这似乎在这里不适用。
问题#2:
此外,“计算引擎”视图中的“权限”右侧边栏的目的是什么,如果它实际上并没有授予任何权限呢?
谢谢!
我之前遇到了相同的问题并找到了解决方案,以下是我的回答:
问题1:如何让一个角色仅拥有对GCP中单个计算实例的访问权限?
您需要授予用户以下权限:
1- 在主IAM页面,https://console.cloud.google.com/iam-admin/iam?project=your_project 授予用户“Compute Viewer”和“Service Account User”角色。
2- 在VM页面,https://console.cloud.google.com/compute/instances?folder=&organizationId=&project=your_project,选择一个或多个VM,并授予用户“Compute Instance Admin(v1)”角色。
现在用户可以通过SSH连接到VM。
问题2:在“Compute Engine”视图中,“权限”右侧边栏的目的是什么,如果它实际上并没有给任何权限。
在GCP中,有项目级和资源级权限。在“Compute Engine”中,“权限”右侧边栏设置单个资源的权限。
希望这可以帮助到您!
