如何授予實習生訪問“VM 實例”的權限？ 使用@gmail.com email 地址（GCP）

Question

我有一個開發實習生。 我需要他訪問我創建的 GCP 付費 VM 實例，以便他可以開始開發。 他應該通過 sudo 獲得 root 訪問權限，最好是他自己的用戶名 linux 帳戶，這樣我們就可以在他克隆 repo、安裝服務等時看到他的文件。

他不應該：有權修改實例，無權更改磁盤或實例大小，無權訪問任何其他資源。 只是 ssh 和虛擬機中的 root。 他的賬戶在他的個人賬戶下 email abc..@gmail.com

我需要給他什么確切的權限？

a) 我使用了默認服務帳戶，但我可以將其切換到項目特定服務帳戶，該帳戶很快也會運行雲功能。

b) 對於 google 員工，確實應該有一個“授予訪問權限”的指南/導覽，允許擁有少於 10 個 vm 實例的人按照它正確授予訪問權限，而不會延遲或損害安全性。 他無法從事有償工作:(。

有關的：

• 52756755 （為什么他需要開發人員的計算管理員角色，我只需要他開發而不維護實例）
• 62925708 （為什么用戶需要服務賬戶角色？他不需要創建付費實例）
• 49384500 （您沒有足夠的權限 ssh 進入此實例）
• 沒有權限 ssh 進入此實例（您沒有足夠的權限將 SSH 進入此實例。您需要 compute.instances.setMetadata、compute.projects.setCommonInstanceMetadata 或 compute.instances.osLogin（啟用 OsLogin）和 iam 之一.serviceAccounts.actAs。

Answer 1

1. 如果此人擁有@gmail.com 域，則他是外部用戶，需要獲得外部用戶權限。 Go 到 IAM & Admin -> 從 Project 菜單 select All 並單擊頂部組織：

添加計算操作系統登錄外部用戶

2. 現在在項目下添加如下內容：

添加項目 - 查看器

添加計算引擎 - 服務帳戶用戶

[可選]添加計算引擎-計算視圖

**雖然計算視圖對於 ssh 是可選的，但它確實可以幫助開發人員/程序員/實習生了解他們正在運行什么，並在程序准備好上線時建議配置更改。

3. 最后，我們需要在實例級別授予權限。 所以 go 到 Compute Engine -> VM Instances -> Permissions -> Add Principal -> “ Compute OS Admin Login ” 如果你想讓他們使用 sudo 或者如果只是普通用戶“Compute OS Login”

4. 打開實例，單擊編輯並在元數據下啟用操作系統登錄。 添加以下項：enable-oslogin 值：TRUE

5. 停止並啟動實例。 您需要它才能使許可生效。 在故障排除期間，這些都不起作用，直到我們重新啟動實例並神奇地修復。

Answer 2

如果您需要管理用戶對您的 Linux VM 實例的訪問權限，您可以使用以下方法之一：

• 操作系統登錄
• 管理元數據中的 SSH 個鍵
• 臨時授予用戶訪問實例的權限

要使用戶能夠使用 SSH 連接到 VM 實例而不授予他們管理 Compute Engine 資源的能力，請將用戶的公鑰添加到項目，或將用戶的公鑰添加到特定實例。 使用此方法，您可以避免將用戶添加為項目成員，同時仍授予他們對特定實例的訪問權限。

有關將用戶 SSH 授予 VM 實例的更多信息，請參見此處。

關於您關於所需角色及其原因的問題， 此處提供了有關使用 Cloud IAM 角色向組織授予訪問權限的更多信息。

有關雲計算引擎中用戶訪問控制的更多信息，請點擊此處。

關於角色和權限

如果您需要您的員工能夠看到您需要根據您的需要授予項目訪問權限的項目。

基本角色是所有者、編輯者和查看者。 在這里，您將找到有關使用 Cloud IAM 控制項目訪問權限的角色和權限的更詳細說明。

在此頁面中，您將找到雲計算引擎中包含的角色和權限的完整列表。

另一方面，在本指南中關於設置操作系統登錄，包括完成該過程所需的角色和權限。 操作系統登錄是適合解決您的問題的選項。