Google 문서에 설명된 아키텍처를 따르고 있습니다. https://cloud.google.com/vpc/docs/shared-vpc#hybrid_cloud_scenario
이 하이브리드 클라우드 시나리오를 통해 VPN을 통해 연결된 현장 사설 네트워크 내에서 핵심 서비스에 액세스할 수 있습니다. 서비스(각 팀)에는 개별 프로젝트가 있으며 해당 특정 프로젝트와 함께 프로비저닝하고 공유한 공유 서브넷을 사용합니다.
내가 가진 문제는 방화벽 규칙을 어떻게 관리합니까? 프로젝트 자체는 방화벽 규칙을 부여할 수 없지만 0.0.0.0/0. 그러면 해당 프로젝트의 누구든지 인프라에 네트워크 태그를 만들고 이 규칙을 상속받을 수 있습니다.
프로젝트 팀이 네트워크 태그를 통해 방화벽 규칙을 추가하는 것을 거부하면서도 인프라 생성은 허용하려면 어떻게 해야 합니까?
답변1
이 경우,IAM 역할당신이 필요로하는 것입니다.
특히, 프로젝트 팀 사용자가roles/compute.securityAdmin역할.