我有一个Google Cloud Compute Engine实例,我在其中创建了一个新用户(通过 adduser ),以允许开发人员在实例中工作 . 现在他有SSH访问权限,可以在实例中登录,但是我希望他能够启动/停止实例,这样就不会对它进行操作,以防止在空闲时进行计费 . 理想情况下,他可以安装 gcloud 并运行 gcloud compute instances start/stop 命令,但不能运行其他命令
我查看了IAM角色,似乎没有Compute Instance User角色 . 是否有可能授予外部用户这种能力?
1 回答
是的,只要他们拥有任何类型的Google帐户 . Here's how to do it;事实上,看起来你想要create a custom IAM role并在有问题的实例上给他们instances.reset, instances.start, and instances.stop .
Cloud Identity可能是用于授予他们访问权限的正确工具,如果他们不在您的公司中;更多信息here .
顺便说一句,
adduser不是允许额外用户访问实例的正确方法; OS Login是适合这项工作的工具 . (还有另一种现已弃用的方法:adding their SSH key to the instance metadata) .