问Google防火墙管理共享VPC

EN

我遵循google文档中描述的体系结构：https://cloud.google.com/vpc/docs/shared-vpc#hybrid_云层_场景

这种混合云场景使我能够在我们的现场专用网络中通过VPN连接核心服务。服务(我的每个团队)都有各自的项目，并使用共享子网，我已经为该特定项目提供并共享了该子网。

我遇到的问题是如何治理防火墙规则？项目本身不能授予防火墙规则，但假设我启用了一个防火墙规则，该规则分配给标记"public-ssh“，该标记允许来自0.0.0.0/0的端口22。然后，该项目中的任何人都可以在其基础结构上创建一个网络标记，并继承此规则。

如何拒绝项目团队通过网络标记添加防火墙规则，但仍然允许他们创建基础设施？