我遵循google文档中描述的体系结构:https://cloud.google.com/vpc/docs/shared-vpc#hybrid_云层_场景
这种混合云场景使我能够在我们的现场专用网络中通过VPN连接核心服务。服务(我的每个团队)都有各自的项目,并使用共享子网,我已经为该特定项目提供并共享了该子网。
我遇到的问题是如何治理防火墙规则?项目本身不能授予防火墙规则,但假设我启用了一个防火墙规则,该规则分配给标记"public-ssh“,该标记允许来自0.0.0.0/0
的端口22。然后,该项目中的任何人都可以在其基础结构上创建一个网络标记,并继承此规则。
如何拒绝项目团队通过网络标记添加防火墙规则,但仍然允许他们创建基础设施?
发布于 2018-03-22 15:30:19
在这种情况下,IAM角色是您所需要的。
具体来说,您希望拒绝项目团队用户的roles/compute.securityAdmin
角色。
https://serverfault.com/questions/907733
复制相似问题