IAM角色是否允许IAM用户在GCP中仅创建VM实例和磁盘?
IAM角色是否允许IAM用户在GCP中仅创建VM实例和磁盘?
提问于 2020-07-15 15:08:16
我已指定计算实例管理员(V1)角色,类型为
1 compute.googleapis.com/Disk and
2 compute.googleapis.com/Instance 如果给定了上述角色,则用户无法创建任何内容,如果我删除了这两个条件,则用户可以创建所有内容,如机器映像、快照。我只想限制到实例和磁盘。
回答 1
Stack Overflow用户
回答已采纳
发布于 2020-07-15 16:55:42
没有这样的角色可以立即满足您的需求,但您可以继续创建一个Custom IAM Role。我还建议检查计算引擎本身的IAM roles and permissions docs。
然后,虽然你没有这样的角色,但你可以从创建一个基于Compute Viewer角色的自定义角色开始。您必须添加与compute.disks和compute.instances相关的IAM权限,才能允许使用和创建虚拟机和磁盘。
没有简单的方法来确定需要哪些权限,但您可以开始在Web UI中创建VM,并检查审计日志中缺少的权限。以下是绝对必需的(如果您的角色基于Compute Viewer):
compute.disks.create
compute.disks.resize
compute.disks.use
compute.instances.reset
compute.instances.resume
compute.instances.setMetadata
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.use
compute.instances.setServiceAccount
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.networks.use
compute.networks.useExternalIp此外,您还需要为您的用户提供Service Account User角色,因为VM是使用特定的服务帐户创建的(默认情况下使用计算引擎默认服务帐户)。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/62909353
复制相关文章
相似问题
腾讯云开发者
