Les counts Google Cloud Service avec des permissions limitées?
Je dois utiliser un count de service pour que mes scripts créent des instantanés de disque réguliers. Il semble que cela doit donner à ce service le rôle de "EDITOR", donc il a un access en écriture.
Ce que je ne vois pas, c'est un moyen de limiter ces counts aux instantanés. Si un attaquant peut accéder aux keys de ce count de service, il est possible de supprimer les disques, de supprimer les ressources de calcul, etc.
- Aucun espace laissé sur l'appareil après la croissance du système de files
- Installation d'un adaptateur graphique virtuel sur un server Windows
- Besoin d'un guide sur le suivi du path des requêtes HTTP entrantes
- Nginx en tant que proxy inverse pour l'application Google App Engine
- Impossible d'établir une connexion de serveur ftp externe en mode * actif * depuis Google Compute Instance ftp client
Je suis sûr que je manque quelque chose ici. Où dans l'interface user je peux configurer les permissions?
- Ne pas autoriser les requests POST de différentes origines GAE
- Créer un cluster Google Container Engine sans pool de nœuds par défaut?
- Erreur de démarrage sur le cloud-init
- Avoir un site Web gratuit avec Google App Engine
- Google Cloud VPN ne permet pas le HTTP ou SSH sortant dans Office Network
- Surveillance MongoDB 3.2 utilisant Stackdriver dans Google Compute Engine a échoué silencieusement
- GCE Protocol Forwarding, utilisez IP pour les requests sortantes
- Ressortingction de l'access SSH dans GCE à Linux bastion hôte en utilisant les règles de pare-feu avec les labels source et cible
One Solution collect form web for “Les counts Google Cloud Service avec des permissions limitées?”
C'est une bonne question, alors je vous propose les étapes pour créer un rôle personnalisé pour votre count de service afin de lui permettre de créer des instantanés uniquement.
Sur votre Google Cloud Console , accédez à IAM & Admin , dans le menu de gauche, click Roles , maintenant sur la list des rôles, find Compute Storage Admin :
Cliquez sur Create role from this role , nommez le nouveau rôle, par exemple Compute Snapshot Creator . Dans la list d'autorisation, supprimez les permissions qui ne sont pas souhaitables pour votre cas d'utilisation (comme compute.x.delete , compute.x.resize , compute.images.x , etc.).
Enregistrez votre rôle personnalisé et atsortingbuez-le au count de service.
Pour plus d'informations sur les fonctions Identity and Access Management (IAM) Roles visitez cet article .