Google cloud platform 将IAM用户限制在GCP中的特定区域和实例类型/类
我是GCP的新手,但我在AWS上工作过。这里,我想要实现的是将IAM用户限制在特定区域和计算引擎类型 就像我们在AWS中一样,在美国东部编写自定义角色来限制它们,就像我希望它们锁定在“us-central1”中一样,并将计算引擎类型锁定为最基本的类型 我可以创建这样一个自定义角色或条件来实现需求吗? 明确拒绝我在这里需要的许可Google cloud platform 将IAM用户限制在GCP中的特定区域和实例类型/类,google-cloud-platform,google-iam,google-cloud-iam,terraform-provider-gcp,Google Cloud Platform,Google Iam,Google Cloud Iam,Terraform Provider Gcp,我是GCP的新手,但我在AWS上工作过。这里,我想要实现的是将IAM用户限制在特定区域和计算引擎类型 就像我们在AWS中一样,在美国东部编写自定义角色来限制它们,就像我希望它们锁定在“us-central1”中一样,并将计算引擎类型锁定为最基本的类型 我可以创建这样一个自定义角色或条件来实现需求吗? 明确拒绝我在这里需要的许可 更新:在组织级别限制位置这很有用,如果有其他方法,请帮助我?谷歌云平台支持。本手册的相关章节对其进行了详细说明。有关要遵循的确切步骤,请参阅文档的一节。但请注意,在Com
更新:在组织级别限制位置这很有用,如果有其他方法,请帮助我?谷歌云平台支持。本手册的相关章节对其进行了详细说明。有关要遵循的确切步骤,请参阅文档的一节。但请注意,在Compute Engine的特定情况下,您可以设置以下内容,这些内容与产品的不同方面有关,如快照和映像、托管实例组、唯一租户节点等。在这种情况下,您可以依赖这些内容。它们为IAM策略添加了额外的粒度级别。仅当条件表达式为True时,才授予对资源的访问权。您可以使用可用的变量、运算符和函数检查各种属性 : 计算引擎
- 全球后端服务
- 区域后端服务
- 防火墙
- 图像
- 实例模板
- 实例
- 区域持久磁盘
- 带状持久盘
- 快照
区域id
:
计算引擎实例projects/project id/zones/zone id/instances/instance id
接下来,您可以使用创建评估访问请求中资源的条件,例如:
resource.type==“compute.googleapis.com/Instance”
resource.name.startsWith(“项目/项目id/区域/区域id”)
此时不支持使用实例类型的IAM策略。最近在问题追踪器上创建了相关的功能请求。你可以关注这一点: