У меня есть (не администраторская) учетная запись в одном проекте GCP.
Когда я запускаю кластер Dataproc, GCP запускает 3 виртуальные машины. Когда я пытаюсь получить доступ к одной из ВМ через SSH (в браузере), я получаю следующую ошибку:
Я попытался добавить рекомендуемые разрешения, но не могу добавить разрешение iam.serviceAccounts.actAs.
Есть идеи, как это решить? Я прочитал документацию GCP, но я просто не могу найти решение для этого. С моей учетной записью связаны следующие роли:
В конце концов, нам удалось решить эту проблему, предоставив пользователям разрешение Editor на служебную учетную запись Compute Engine по умолчанию. Не уверен, что это правильный способ, но, похоже, он работает.
Я считаю, что последняя документация по SSH-доступу к Compute Engine находится здесь: https://cloud.google.com/compute/docs/instances/managing-instance-access
Похоже, вам нужно включить вход в ОС для конкретных экземпляров, в которые вы хотите подключиться по SSH.
Если с консоли вы хотите нажать кнопку SSH рядом с экземпляром, но столкнулись с этой проблемой, вы можете предоставить роль Service Account User вместо Editor, и это должно решить эту проблему.
Если вы используете вход в ОС, вам также может понадобиться роль Compute OS Login, но пользователь SA должен работать.
Если вы используете IAP, вам может понадобиться роль IAP-secured Tunnel User (или roles/iap.tunnelResourceAccessor в интерфейсе командной строки).
Раньше: 
После добавления роли Service Account User: 
Если вы хотите получить удаленный доступ, используйте бастион и туннель Cloud IAP. Вот пример настройки / удаления (NAT и маршрутизатор необязательны, если вы хотите настроить свой бастион или установить пакеты)
Добавление идентификатора под роль для конкретного экземпляра у нас как-то не сработало
Однако, когда одному и тому же идентификатору была назначена одна и та же роль в IAM, это сработало.
