如何授予实习生访问“VM 实例”的权限？ 使用@gmail.com email 地址（GCP）

Question

我有一个开发实习生。 我需要他访问我创建的 GCP 付费 VM 实例，以便他可以开始开发。 他应该通过 sudo 获得 root 访问权限，最好是他自己的用户名 linux 帐户，这样我们就可以在他克隆 repo、安装服务等时看到他的文件。

他不应该：有权修改实例，无权更改磁盘或实例大小，无权访问任何其他资源。 只是 ssh 和虚拟机中的 root。 他的账户在他的个人账户下 email abc..@gmail.com

我需要给他什么确切的权限？

a) 我使用了默认服务帐户，但我可以将其切换到项目特定服务帐户，该帐户很快也会运行云功能。

b) 对于 google 员工，确实应该有一个“授予访问权限”的指南/导览，允许拥有少于 10 个 vm 实例的人按照它正确授予访问权限，而不会延迟或损害安全性。 他无法从事有偿工作:(。

有关的：

• 52756755 （为什么他需要开发人员的计算管理员角色，我只需要他开发而不维护实例）
• 62925708 （为什么用户需要服务账户角色？他不需要创建付费实例）
• 49384500 （您没有足够的权限 ssh 进入此实例）
• 没有权限 ssh 进入此实例（您没有足够的权限将 SSH 进入此实例。您需要 compute.instances.setMetadata、compute.projects.setCommonInstanceMetadata 或 compute.instances.osLogin（启用 OsLogin）和 iam 之一.serviceAccounts.actAs。

Answer 1

1. 如果此人拥有@gmail.com 域，则他是外部用户，需要获得外部用户权限。 Go 到 IAM & Admin -> 从 Project 菜单 select All 并单击顶部组织：

添加计算操作系统登录外部用户

2. 现在在项目下添加如下内容：

添加项目 - 查看器

添加计算引擎 - 服务帐户用户

[可选]添加计算引擎-计算视图

**虽然计算视图对于 ssh 是可选的，但它确实可以帮助开发人员/程序员/实习生了解他们正在运行什么，并在程序准备好上线时建议配置更改。

3. 最后，我们需要在实例级别授予权限。 所以 go 到 Compute Engine -> VM Instances -> Permissions -> Add Principal -> “ Compute OS Admin Login ” 如果你想让他们使用 sudo 或者如果只是普通用户“Compute OS Login”

4. 打开实例，单击编辑并在元数据下启用操作系统登录。 添加以下项：enable-oslogin 值：TRUE

5. 停止并启动实例。 您需要它才能使许可生效。 在故障排除期间，这些都不起作用，直到我们重新启动实例并神奇地修复。

Answer 2

如果您需要管理用户对您的 Linux VM 实例的访问权限，您可以使用以下方法之一：

• 操作系统登录
• 管理元数据中的 SSH 个键
• 临时授予用户访问实例的权限

要使用户能够使用 SSH 连接到 VM 实例而不授予他们管理 Compute Engine 资源的能力，请将用户的公钥添加到项目，或将用户的公钥添加到特定实例。 使用此方法，您可以避免将用户添加为项目成员，同时仍授予他们对特定实例的访问权限。

有关将用户 SSH 授予 VM 实例的更多信息，请参见此处。

关于您关于所需角色及其原因的问题， 此处提供了有关使用 Cloud IAM 角色向组织授予访问权限的更多信息。

有关云计算引擎中用户访问控制的更多信息，请点击此处。

关于角色和权限

如果您需要您的员工能够看到您需要根据您的需要授予项目访问权限的项目。

基本角色是所有者、编辑者和查看者。 在这里，您将找到有关使用 Cloud IAM 控制项目访问权限的角色和权限的更详细说明。

在此页面中，您将找到云计算引擎中包含的角色和权限的完整列表。

另一方面，在本指南中关于设置操作系统登录，包括完成该过程所需的角色和权限。 操作系统登录是适合解决您的问题的选项。