#google-cloud-platform
#google-cloud-platform
Вопрос:
Мне интересно, как Qwiklabs ограничивает доступ и использование ресурсов.
Если кто-то выполняет лабораторную работу, пользователь может, например, создать множество виртуальных машин или использовать другие ресурсы, которые не являются частью этапов лабораторной работы.
Я подумал, что квоты могут помешать пользователю выполнять действия, которые он не должен. Или пользователь может просто изменить квоты? Можете ли вы помешать им изменить квоты?
Я также видел в Qwiklabs, что они предоставляют вам временные учетные данные, которые вы используете для входа в Google Cloud и доступа к нему на время лаборатории. Кто-нибудь может объяснить, как это способ остановить пользователя от действий, которые он не должен делать?
Я благодарен за каждый ответ.
Ответ №1:
Мне интересно, как Qwiklabs ограничивает доступ и использование ресурсов.
Qwiklabs использует Stackdriver logging / auditing для отслеживания событий по идентификатору пользователя. Если происходит событие, выходящее за рамки того, что пользователь должен делать, генерируется триггер безопасности, который обычно приводит к блокировке учетной записи пользователя. Затем пользователь должен попросить Qwiklabs снова включить свою учетную запись. Это может привести к постоянной приостановке их учетной записи.
Если кто-то выполняет лабораторную работу, пользователь может, например, создать множество виртуальных машин или использовать другие ресурсы, которые не являются частью этапов лабораторной работы.
Если пользователь пытается что-то делать за пределами Qwiklab, его учетная запись почти немедленно блокируется
Я подумал, что квоты могут помешать пользователю выполнять действия, которые он не должен. Или пользователь может просто изменить квоты? Можете ли вы помешать им изменить квоты?
Если Qwiklabs не допустила ошибку при создании лабораторных работ (что случалось в прошлом), пользователи не имеют больше привилегий, чем необходимо для выполнения лабораторных работ. У пользователей нет ролей / разрешений для изменения своих временных учетных записей.
Я также видел в Qwiklabs, что они предоставляют вам временные учетные данные, которые вы используете для входа в Google Cloud и доступа к нему на время лаборатории. Кто-нибудь может объяснить, как это способ остановить пользователя от действий, которые он не должен делать?
- Срок действия учетных данных истек.
- Stackdriver записывает события, которые отслеживаются программным обеспечением.
- Неожиданные действия пользователя приводят к блокировке учетной записи.
- После завершения лабораторной работы или блокировки учетной записи все пользовательские ресурсы уничтожаются.
Комментарии:
1. Спасибо за ответ. Один из последующих вопросов: что именно я должен сделать, чтобы у пользователей не было ролей / разрешений для изменения своих временных учетных записей? Это делается с помощью ролей IAM и учетных записей служб? И для ясности: означает ли это, что квоты не позволяют пользователям, скажем, создавать слишком много виртуальных машин, и если мы хотим убедиться, что они также не используют другие ресурсы (они не должны использовать), мы используем триггеры безопасности? Заранее благодарю вас.
2. Что касается Qwilabs, вам нечего делать. У вас нет никаких прав на системы Qwilab, кроме оплаты лабораторных кредитов и использования лабораторных работ. Пользователи имеют только те права, которые предоставляет им Qwiklabs. Вы не можете повлиять или изменить что-либо. Если возникает проблема, сообщите об этом в Google. Я рекомендую ознакомиться с Условиями предоставления услуг: qwiklabs.com/terms_of_service