Estoy siguiendo la arquitectura descrita en la documentación de Google: https://cloud.google.com/vpc/docs/shared-vpc#hybrid_cloud_scenario
Este escenario de nube híbrida me permite tener servicios principales accesibles dentro de nuestra red privada en el sitio conectada a través de VPN. Los servicios (cada uno de mis equipos) tienen sus proyectos individuales y utilizan una subred compartida que he aprovisionado y compartido con ese proyecto en particular.
El problema que tengo es ¿cómo controlo las reglas del firewall? Los proyectos en sí no pueden otorgar reglas de firewall, pero digamos que habilito una regla de firewall que se asigna a la etiqueta "public-ssh" que permite el puerto 22 desde 0.0.0.0/0. Cualquier persona en ese proyecto puede crear una etiqueta de red en su infraestructura y heredar esta regla.
¿Cómo evito que los equipos del proyecto agreguen reglas de firewall a través de etiquetas de red, pero aun así les permito crear infraestructura?
Respuesta1
En este caso,Funciones de IAMson lo que necesitas.
Específicamente, desea negar a los usuarios del equipo del proyecto laroles/compute.securityAdminrole.