如何将 "VM Instances" 的访问权限授予实习生?使用@gmail.com 电子邮件地址 (GCP)

How to give access to "VM Instances" to the intern? with @gmail.com email address (GCP)

我得到了一名开发实习生。我需要他访问我创建的 GCP 付费 VM 实例,以便他可以开始开发。他应该通过 sudo 获得 root 访问权限,最好是他自己的用户名 linux 帐户,这样我们就可以在他克隆 repo、安装服务等时看到他的文件

他不应该:有权修改实例,无权更改磁盘或实例大小,无权访问任何其他资源。只需在虚拟机中使用 ssh 和 root。 他的账号在他的个人邮箱abc下..@gmail.com

我需要给他什么确切的权限?

a) 我使用了默认服务帐户,但我可以将其切换到项目特定服务帐户,该帐户很快也会 运行 云功能。

b) 对于 google 员工,确实应该有一个 guide/tour 用于“授予访问权限”,允许拥有少于 10 个 vm 实例的人遵循它来正确授予访问权限,而不会延迟或妥协安全。他无法从事有偿工作:(.

相关:

如果您需要管理用户对 Linux VM 实例的访问权限,您可以使用以下方法之一:

To give a user the ability to connect to a VM instance using SSH without granting them the ability to manage Compute Engine resources, add the user's public key to the project, or add a user's public key to a specific instance. Using this method, you can avoid adding a user as a project member, while still granting them access to specific instances.

可以找到有关授予用户 SSH 到 VM 实例的更多信息here

关于您关于所需角色及其原因的问题,here 是关于使用 Cloud IAM 角色向组织授予访问权限的更多信息。

有关云计算引擎中用户访问控制的更多信息here

关于角色和权限

如果您需要您的员工能够看到您需要根据您的需要授予项目访问权限的项目。

基本角色是所有者、编辑者和查看者。 Here 您将找到有关使用 Cloud IAM 控制项目访问权限的角色和权限的更详细说明。

this page 中,您将找到云计算引擎中包含的角色和权限的完整列表。

另一方面,在关于 setup OS login 的本指南中,包括完成该过程所需的角色和权限。 OS 登录是适合解决您的问题的选项。

  1. 如果此人拥有@gmail.com 域,则他是外部用户,需要获得外部用户权限。 转到 IAM & Admin -> 从项目菜单 select All 并单击顶级组织:

添加 计算 OS 登录外部用户

  1. 现在项目下添加如下:

添加项目 - 查看器

添加计算引擎 - 服务帐户用户

[可选]添加计算引擎 - 计算视图

**虽然计算视图对于 ssh 是可选的,但它确实有助于 developer/programmer/intern 了解它们是什么 运行 并在程序准备好上线时建议更改配置。

  1. 最后我们需要在实例级别授予权限。所以去计算引擎 -> VM 实例 -> 权限 -> 添加主体 -> “Compute OS Admin Login” 如果你想让他们使用 sudo 或者如果只是一个普通的用户“计算 OS 登录”

  1. 打开实例,单击编辑并在元数据下启用 OS-Login。添加以下内容 键:enable-oslogin 值:TRUE

  1. 停止和启动实例。您需要它才能使许可生效。在故障排除过程中,none 一直有效,直到我们重新启动实例,并神奇地修复了。