Estou seguindo a arquitetura descrita na documentação do Google: https://cloud.google.com/vpc/docs/shared-vpc#hybrid_cloud_scenario
Esse cenário de nuvem híbrida me permite ter serviços essenciais acessíveis em nossa rede privada local conectada via VPN. Os serviços (cada uma das minhas equipes) têm seus projetos individuais e usam uma sub-rede compartilhada que eu provisionei e compartilhei com esse projeto específico.
O problema que tenho é como governar as regras de firewall? Os próprios projetos não podem conceder regras de firewall, mas digamos que eu habilite uma regra de firewall atribuída à tag "public-ssh" que permite a porta 22 de 0.0.0.0/0. Qualquer pessoa nesse projeto poderá criar uma etiqueta de rede em sua infraestrutura e herdar essa regra.
Como posso negar às equipes do projeto a adição de regras de firewall por meio de tags de rede, mas ainda permitir que elas criem infraestrutura?
Responder1
Nesse caso,Funções do IAMsão o que você precisa.
Especificamente, você deseja negar aos usuários da equipe do projeto oroles/compute.securityAdminpapel.