我正在遵循谷歌文档中描述的架构: https://cloud.google.com/vpc/docs/shared-vpc#hybrid_cloud_scenario
这种混合云方案使我能够通过 VPN 连接现场专用网络来访问核心服务。这些服务(我的每个团队)都有各自的项目,并使用我已配置并与该特定项目共享的共享子网。
我的问题是如何管理防火墙规则?项目本身无法授予防火墙规则,但假设我启用了一条防火墙规则,该规则分配给标签“public-ssh”,允许端口 22。0.0.0.0/0
该项目中的任何人都可以在其基础架构上创建网络标签并继承此规则。
我如何拒绝项目团队通过网络标签添加防火墙规则,但仍允许他们创建基础设施?
答案1
在这种情况下,IAM 角色就是你所需要的。
具体来说,你想拒绝项目团队用户roles/compute.securityAdmin
角色。