TL; DR - Nein, mit the list of Google Compute engine (GCE) IAM roles provided können Sie keine IAM-Rollen verwenden, um das zu erreichen, was Sie verlangen.
IAM-Rollen für SSH-Schlüssel Provisioning
Die folgenden Rollen erlauben SSH in GCE VMs:
Compute Engine Instance Admin
aka roles/compute.instanceAdmin.v1
Service account actor
aka roles/iam.serviceAccountActor
Provisioning SSH-Schlüssel
Da GCE Metadaten-Server verwendet Zur Bereitstellung der SSH-Schlüssel benötigen Sie die Berechtigung compute.instances.setMetadata
, um die Schlüssel bereitzustellen. Nachdem die Bereitstellung abgeschlossen ist, müssen Sie einen eigenen Mechanismus verwenden, um die Schlüssel zu verteilen.
Mit anderen Worten, Sie müssen sich darum kümmern, dass Sie auf der GCE-Instanz selbst zusätzliche Benutzer mit den gewünschten Berechtigungen erstellen und die Bereitstellung/Verteilung der SSH-Schlüssel an den gewünschten Benutzer steuern.
GCE bietet Tools zum Verwalten von SSH-Schlüsseln mit den REST-APIs oder gcloud
.
Do lesen Sie die folgenden Führungen, die den Prozess im Detail zu erklären:
GCE zu Pro-Metadaten-Server verwenden der SSH-Schlüssel Vision, und es wird nur auf den folgenden Bildern unterstützt, die nach dem Februar/März 2016.
- CentOS 6 und 7 10. Februar 2016
- Debian 8 10. Februar 2016 erstellt wurden
- openSUSE 13 10. Februar 2016
- RHEL 6 und 7 10. Februar 2016
- SUSE 11 und 12 1. März 2016
- Ubuntu 16.04 LTS und 14.04 LTS 3. März 2016
- Ubuntu 12.04 LTS 29. März 2016