什么样的IAM角色允许GCP用户通过浏览器中的" SSH“按钮打开Compute Engine SSH连接?
如果单击每个VM,则在新浏览器窗口中打开终端会话的"SSH“按钮出现在每个VM旁边。如果我有项目所有者角色,它会为我工作,但是任何事情都会导致按钮被禁用。
作品:
- 所有者
不起作用(全部合并):
- 应用程序引擎管理
- BigQuery管理
- BigQuery资源管理
- 云功能管理
- 云SQL管理
- 计算管理
- 计算实例管理(v1)
- 计算网络管理
- 计算操作系统管理登录
- 计算OS登录
- 部署管理器编辑器
- 日志查看器
- IAM项目管理
- 秘密经理行政
- 服务帐户管理
- 服务帐户密钥管理
- 服务帐户用户
- 仓储管理
- 查看器
是否有一个比所有者更少的角色,我可以应用到自己身上,并且仍然可以启用"SSH“按钮?
文档建议这些建议应该足够了,但它们并没有解决这个问题:
- 计算OS *登录
- 服务帐户用户
谢谢。
回答 1
Stack Overflow用户
发布于 2022-07-18 08:57:31
项目级和更高级别的访问在IAM管理页面中进行管理,但将显示在IAP管理页面中。
如果您想使用没有“所有者”权限的帐户,则需要添加“IAP安全隧道用户”角色。没有此角色的成员“IAP-安全隧道用户”将无法看到启用SSH。如果您使用IAP来控制对管理服务(如SSH和RDP )的访问,用户将需要iap.tunnelInstances.accessViaIAP权限。
为了解决这个问题,您需要将角色“IAP-安全隧道用户”添加到具有“编辑器”权限的用户中。3-5分钟后,您将能够看到启用SSH按钮。一旦应用了权限,按钮就会激活。
我相信eng团队可以更改SSH连接按钮中的一些内容,这使得进一步的权限(包含在该角色中)成为强制性的。
还请检查是否启用了OS登录。因为在项目中的一个或多个实例上启用OS登录后,这些VM只接受来自在项目或组织中具有必要IAM角色的用户帐户的连接。
要允许OS登录访问这些VM,您需要对用户进行赋予必要的角色。您可以在项目级或实例级别授予实例访问角色。如果用户需要从gcloud控制台或gcloud CLI访问SSH,则必须在项目级别授予实例访问角色,或者在项目级别授予包含compute.projects.get权限的角色。
有关更多信息,请参考资源和权限和授予OS登录IAM角色。
https://stackoverflow.com/questions/72992571
复制相似问题
腾讯云开发者
