Wie kann ich dem Praktikanten Zugriff auf "VM-Instanzen" gewähren? mit E-Mail-Adresse @gmail.com (GCP)

Ich habe einen Entwicklerpraktikanten. Ich brauche ihn, um auf die kostenpflichtige GCP-VM-Instanz zuzugreifen, die ich erstellt habe, damit er mit der Entwicklung beginnen kann. Er sollte über sudo Root-Zugriff haben und vorzugsweise seinen eigenen Linux-Benutzernamen, damit wir seine Dateien sehen können, wenn er Repos klont, Dienste installiert usw.

Er sollte nicht: Zugriff zum Ändern von Instanzen haben, keinen Zugriff zum Ändern von Datenträgern oder Instanzgröße haben, keinen Zugriff auf andere Ressourcen haben. Einfach ssh und root in einer VM. Sein Konto befindet sich unter seiner persönlichen E-Mail-Adresse abc..@gmail.com

Welche genauen Berechtigungen muss ich ihm erteilen?

a) Ich habe das Standard-Dienstkonto verwendet, aber ich könnte es auf ein projektspezifisches Dienstkonto umstellen, das bald auch Cloud-Funktionen ausführen wird.

b) Für Google-Mitarbeiter sollte es wirklich einen Leitfaden / eine Tour zum "Zugriff gewähren" geben, der es Personen mit weniger als 10 VM-Instanzen ermöglicht, ihm zu folgen, um den Zugriff ohne Verzögerung ordnungsgemäß zu gewähren oder die Sicherheit zu beeinträchtigen. Er kann keine bezahlte Arbeit machen:(.

Verwandt:

• 52756755 (warum braucht er eine Computeradministratorrolle für einen Entwickler, ich brauche ihn nur, um die Instanz zu entwickeln und nicht zu warten)


• 62925708 (Warum benötigt der Benutzer die Dienstkontorolle? Er muss keine kostenpflichtigen Instanzen erstellen)


• 49384500 (Sie haben keine ausreichenden Berechtigungen, um sich mit dieser Instanz per SSH zu verbinden)


• Sie haben keine Berechtigung zum SSH-Zugriff auf diese Instanz (Sie haben keine ausreichenden Berechtigungen zum SSH-Zugriff auf diese Instanz. Sie benötigen eine von compute.instances.setMetadata, compute.projects.setCommonInstanceMetadata oder compute.instances.osLogin (mit aktiviertem OsLogin) und iam.serviceAccounts.actAs.

Lösung des Problems

Wenn die Person eine @gmail.com-Domäne hat, ist sie ein externer Benutzer und muss die Berechtigung für externe Benutzer erhalten. Gehen Sie zu IAM & Admin -> Wählen Sie im Menü Project die Option All aus und klicken Sie auf die oberste Organisation:

Fügen Sie den externen Benutzer für die Compute OS-Anmeldung hinzu

Fügen Sie nun unter dem Projekt Folgendes hinzu:

Projekt hinzufügen - Viewer

Compute Engine hinzufügen – Dienstkontonutzer

[optional]Compute Engine-Compute-Ansicht hinzufügen

**Obwohl die Compute-Ansicht nur für ssh optional ist, hilft sie dem Entwickler/Programmierer/Praktikanten jedoch zu wissen, was er gerade ausführt, und empfiehlt Konfigurationsänderungen, wenn das Programm für den Golive bereit ist.

Und schließlich müssen wir die Erlaubnis auf Instanzebene erteilen. Gehen Sie also zu Compute Engine -> VM-Instanzen -> Berechtigungen -> Prinzipal hinzufügen -> " Compute OS Admin Login ", wenn Sie möchten, dass sie sudo verwenden, oder wenn Sie nur ein normaler Benutzer sind, "Compute OS Login".

Öffnen Sie die Instanz, klicken Sie auf Bearbeiten und aktivieren Sie OS-Login unter Metadaten. Fügen Sie den folgenden
Schlüssel hinzu: enable-oslogin Wert: TRUE

Stoppen und starten Sie die Instanz. Sie benötigen es, damit die Genehmigung wirksam wird. Während der Fehlerbehebung hat nichts davon funktioniert, bis wir die Instanz neu gestartet und auf magische Weise behoben haben.