我想确保使用默认计算引擎服务帐户运行的所有虚拟机的API访问都被锁定,因此我有兴趣过滤gcloud命令以识别任何不符合要求的实例,但我很难找到正确的命令。
我知道我需要在最后的命令中包括AND,以在配置为使用默认计算引擎服务帐户VM运行的VMS上进行筛选,但目前我想正确使用范围筛选器!
根据谷歌在这里提到的过滤MachineType的文档,我认为在从REST VM详细信息中确定为完全访问云API作用域配置的URL后,作用域上的过滤会起作用https://www.googleapis.com/auth/cloud-platform
我尝试过这些命令,但没有一个命令给我配置了范围允许完全访问所有云API的虚拟机列表
gcloud compute instances list --filter='Allow full access to all Cloud APIs'
gcloud compute instances list --filter="scopes:[https://www.googleapis.com/auth/cloud-platform]"
有人知道命令应该是什么吗?
作用域列在每个帐户的serviceAccounts键下。通常,每个实例只有一个服务帐户。您可以在第一个服务帐户的作用域列表上进行筛选,如:
gcloud compute instances list --filter="serviceAccounts[0].scopes:(cloud-platform)"
我没有任何多账户实例,但理论上所有账户的过滤器都是:
gcloud compute instances list --filter="serviceAccounts[].scopes:(cloud-platform)"