Ich folge der in der Google-Dokumentation beschriebenen Architektur: https://cloud.google.com/vpc/docs/shared-vpc#hybrid_cloud_scenario
Dieses Hybrid-Cloud-Szenario ermöglicht es mir, auf Kerndienste innerhalb unseres privaten Netzwerks vor Ort zuzugreifen, das über VPN verbunden ist. Die Dienste (jedes meiner Teams) haben ihre eigenen Projekte und verwenden ein gemeinsames Subnetz, das ich bereitgestellt und mit diesem bestimmten Projekt geteilt habe.
Mein Problem ist, wie ich Firewall-Regeln verwalte. Die Projekte selbst können keine Firewall-Regeln erteilen, aber sagen wir, ich aktiviere eine Firewall-Regel, die dem Tag „public-ssh“ zuweist, der Port 22 von zulässt 0.0.0.0/0. Jeder in diesem Projekt kann dann einen Netzwerk-Tag für seine Infrastruktur erstellen und diese Regel übernehmen.
Wie verhindere ich, dass Projektteams Firewall-Regeln über Netzwerk-Tags hinzufügen, erlaube ihnen aber dennoch, Infrastruktur zu erstellen?
Antwort1
In diesem Fall,IAM-Rollensind, was Sie brauchen.
Konkret möchten Sie den Benutzern des Projektteams den Zugriff verweigern.roles/compute.securityAdminRolle.