Como o mecanismo de computação do Google cria usuários e como desativá-los?

Você pode impedir que uma instância do GCE adicione contas, garantindo que o serviço google-account-manager não seja executado. No CoreOS, você pode parar este serviço com sudo systemctl stop google-accounts-manager.service e desativá-lo permanentemente com sudo systemctl disable google-accounts-manager.service .

Você pode querer criar uma imagem com o serviço pré-desativado (ou até mesmo excluir o arquivo da unidade) para que, quando você criar instâncias, não crie contas antes de desabilitar o serviço.

A partir de março de 2017, você pode impedir que as contas sejam criadas, desativando o daemon de Contas, que é implantado em todas as imagens no GCE.

Para fazer isso:

1. Crie o arquivo /etc/default/instance_configs.cfg.template com o seguinte conteúdo:

   [Daemons]
   accounts_daemon = false
   

2. Executar /usr/bin/google_instance_setup

Isso deve parar e desativar o daemon permanentemente, mesmo no caso de atualização do pacote do daemon.

Você pode ler mais sobre daemons e outras coisas implantadas pelo Google em imagens de sistemas GCE nos GoogleCloudPlatform / compute-image-packages projeto README e código.

Se os usuários tiverem acesso de "edição" a um projeto, eles poderão acessar o SSH para qualquer VM (e terão acesso sem senha sudo ), pois eles poderão editar o metadados para qualquer VM específica ou o próprio projeto para adicionar sua chave SSH pública a ela, que é o que gcloud é feito automaticamente quando você usa gcloud compute ssh ou se você clicar no botão [SSH] na interface do usuário.

Você não pode desabilitar esse recurso porque você não conseguiria executar o SSH em suas instâncias recém-criadas: as instâncias da VM do GCE são inicializadas sem nenhuma conta de usuário ou chave SSH e as herdam do projeto ou de alterações nos metadados assim que eles estiverem em exibição, para que você possa adicionar um usuário dinamicamente a uma VM em execução, alterando os metadados , e um daemon na VM criará uma conta de usuário para você automaticamente.

Se você quiser controlar quem pode executar SSH para qual instância, forneça aos usuários o acesso Exibir, não Editar e adicione manualmente suas chaves SSH somente às instâncias que você deseja que eles acessem. Ou ative o SSH baseado em senha e adicione suas contas de usuário.

No momento da redação deste artigo (28 de agosto de 2015), há um alfa de acesso à conta de usuário programático disponível que você pode usar para criar novas contas de usuário em suas VMs. Você pode solicitar a inclusão na lista de permissões dessa API, já que é somente por convite no momento.

Isso não é possível no momento. Se os membros do seu projeto tiverem permissões de edição ou propriedade, eles poderão ssh para instâncias de VM .

No entanto, você pode criar um projeto diferente para as instâncias de VM que não deseja compartilhar com os outros membros (editores / proprietários). Outra solução alternativa é usar allowusers no seu arquivo /etc/ssh/sshd_config para permitir que usuários específicos / endereço IP para SSH para as VMs.

Sugiro fazer uma solicitação de recurso no rastreador de problemas públicos da GCE para adicionar o recurso.