Я пытаюсь предоставить доступ только одному из членов группы. Вход в Compute OS Но я не смог его установить.
Как я это сделал?
Шаг 1
In the appropriate project under the IAM I added the user email and given Role for Compute OS Login after that.
Шаг 2
Попытка в терминале
# glcoud init
После того, как я предоставил всю необходимую информацию, я попытался войти в систему с gcloud
# gcloud compute ssh sjkeerthi@test-instance -- -p 2020
No zone specified. Using zone [europe-west2-c] for instance: [test-instance].
Updating project ssh metadata...failed.
Updating instance ssh metadata...failed.
ERROR: (gcloud.compute.ssh) Could not add SSH key to instance metadata:
- The user does not have access to service account '1096586xxxxx-compute@developer.gserviceaccount.com'. User: 'sjkeerthi@xxxx.com'. Ask a project owner to grant you the iam.serviceAccountActor role on the service account
Примечание. - Даже если я установил в MetaData параметр enable-oslogin = True
Вам необходимо добавить роль Актера учетной записи службы в учетную запись пользователя, чтобы она могла действовать как ServiceAccount (скрыто)
Эта роль имеет устарело. Теперь вы должны предоставить роль пользователя учетной записи службы и создателя токена учетной записи службы учетной записи пользователя в IAM.
Для получения дополнительных сведений вы можете воспользоваться общедоступной документацией по этой ссылке .
Если вы пытаетесь выполнить ssh из экземпляра Google Compute Engine (GCE) в другой экземпляр GCE, убедитесь, что у исходного экземпляра есть область действия Compute Engine, установленная для чтения / записи в его настройках конфигурации, чтобы он мог получить доступ к другим экземплярам GCE. .
Я думаю, что следующая общедоступная документация по Настройка ролей входа в ОС для учетных записей пользователей будет полезной. Полученная ошибка показывает, что у вашего пользователя отсутствует роль (iam.serviceAccountUser).
У пользователя нет доступа к учетной записи службы (скрыто) Пользователь: (скрыто) Попросите владельца проекта предоставить вам роль iam.serviceAccountActor на учетная запись службы
В соответствии с примером, приведенным в общедоступном документе, вы можете предоставить мгновенный доступ своим пользователям с помощью следующего процесса:
Предоставьте пользователю необходимые роли доступа к экземпляру.
Пользователи должны иметь следующие роли:
- Роль iam.serviceAccountUser.
Одна из следующих ролей входа в систему:
- Роль compute.osLogin, которая не предоставляет разрешения администратора
- Вычисление. роль osAdminLogin, которая предоставляет права администратора
Вам необходимо добавить следующие роли к вашей учетной записи IAM, как показано здесь:
roles/iam.serviceAccountUser
роли/компьютер.osLogin
, если вы просто хотите войти в систему как обычный пользовательроли/компьютер. osAdminLogin
, если вы хотите иметь возможность войти в систему от имени администратора или иметь привилегии root