我遵循谷歌文檔中描述的架構: https://cloud.google.com/vpc/docs/shared-vpc#hybrid_cloud_scenario
這種混合雲場景使我能夠在透過 VPN 連接的現場專用網路中存取核心服務。這些服務(我的每個團隊)都有自己的項目,並使用我已配置並與該特定項目共享的共享子網路。
我遇到的問題是如何管理防火牆規則?專案本身無法授予防火牆規則,但假設我啟用了一個分配給標籤“public-ssh”的防火牆規則,該標籤允許來自0.0.0.0/0.該專案中的任何人都可以在其基礎設施上建立網路標籤並繼承此規則。
如何拒絕專案團隊透過網路標籤新增防火牆規則,但仍允許他們建立基礎架構?
答案1
在這種情況下,IAM 角色是你所需要的。
具體來說,您想要拒絕專案團隊用戶roles/compute.securityAdmin角色。