私は Google ドキュメントに記載されているアーキテクチャに従っています: https://cloud.google.com/vpc/docs/shared-vpc#ハイブリッドクラウドシナリオ
このハイブリッド クラウド シナリオにより、VPN 経由で接続されたオンサイト プライベート ネットワーク内でコア サービスにアクセスできるようになります。サービス (各チーム) には個別のプロジェクトがあり、その特定のプロジェクトでプロビジョニングして共有した共有サブネットを使用します。
問題は、ファイアウォール ルールをどのように管理するかということです。プロジェクト自体はファイアウォール ルールを付与できませんが、ポート 22 を許可するタグ「public-ssh」を割り当てるファイアウォール ルールを有効にするとします0.0.0.0/0。そのプロジェクト内の誰でも、インフラストラクチャ上にネットワーク タグを作成し、このルールを継承できます。
プロジェクト チームがネットワーク タグを使用してファイアウォール ルールを追加することを拒否しながら、インフラストラクチャの作成は許可するにはどうすればよいですか?
答え1
この場合、IAM ロール必要なものです。
具体的には、プロジェクトチームのユーザーにroles/compute.securityAdmin役割。