web-dev-qa-db-ja.com

IAMを使用してユーザーにGoogleコンピューティングプロジェクトのインスタンスへのsshアクセスを許可する

Google Cloudのプロジェクトには多数のLinuxVM(Google Compute Engine)があります。ユーザー(開発者)がSSHのみを使用してGoogle ComputeEngineにアクセスできるようにしたい。 VMの詳細を変更する機能はありません。sshアクセスのみです。IAMを使用して、これらのユーザーがインスタンスにアクセスする方法を制御したいと思います。キーを使用したくありません。

このアプローチ(私は感じます)により、特に離脱するユーザーのVMへのアクセスを管理しやすくなります。

これは実行可能ですか?意味がありますか?

G

2
GerM

これが私がグーグルからのトピックで見つけたものです

https://cloud.google.com/compute/docs/access/#granting_users_ssh_access_to_vm_instances

*ユーザーにVMインスタンスへのSSHアクセスを許可する

SSHを使用して仮想マシンインスタンスに接続する機能をユーザーに付与したいが、Compute Engineリソースを管理する機能をユーザーに付与したくない場合は、ユーザーの公開鍵をプロジェクトに追加するか、ユーザーの公開鍵を追加します特定のインスタンスへのキー。この方法を使用すると、特定のインスタンスへのアクセスを許可しながら、プロジェクトメンバーとしてユーザーを追加することを回避できます。 SSHとSSHキーの管理の詳細については、SSHキーの概要をお読みください。

プロジェクトメンバーにroles/compute.instanceAdmin.v1ロールを付与すると、インスタンスがサービスアカウントとして実行するように設定されていない限り、SSHを使用してインスタンスに自動的に接続できることに注意してください。インスタンスがサービスアカウントとして実行するように設定されている場合、メンバーがインスタンスに接続するには、roles /iam.serviceAccountActorロールも付与する必要があります。*

これは動作しません。私はここにあることに従いましたが、何が起こるかというと、ユーザーはsshを実行できますが、不要なインスタンスを編集または複製することもできます。

検索を続けます..。

1
GerM