Я следую архитектуре, описанной в документации Google: https://cloud.google.com/vpc/docs/shared-vpc#гибридное_облако_сценарий
Этот гибридный облачный сценарий позволяет мне иметь основные сервисы, доступные в нашей локальной частной сети, подключенной через VPN. Сервисы (каждая из моих команд) имеют свои индивидуальные проекты и используют общую подсеть, которую я подготовил и поделился с этим конкретным проектом.
Проблема в том, как мне управлять правилами брандмауэра? Сами проекты не могут предоставлять правила брандмауэра, но, скажем, я включаю правило брандмауэра, которое назначает тегу "public-ssh", который разрешает порт 22 из 0.0.0.0/0. Любой в этом проекте может затем создать сетевой тег в своей инфраструктуре и унаследовать это правило.
Как запретить проектным группам добавлять правила брандмауэра через сетевые теги, но при этом разрешить им создавать инфраструктуру?
решение1
В этом случае,Роли IAMэто то, что вам нужно.
В частности, вы хотите запретить пользователям команды проектаroles/compute.securityAdminроль.