Ограничение пользователей IAM определенным регионом c и типом / классом экземпляра в GCP

Question

Я новичок в GCP, но я работал над AWS. Вот чего я хочу добиться, чтобы ограничить пользователей IAM определенным регионом и типом Compute Engine

Как мы сделали в AWS, написав настраиваемые роли, чтобы ограничить их на востоке США, так же, как я хочу, чтобы они заблокируйте 'us-central1' и зафиксируйте тип вычислительной машины на большинстве базовых c один.

Могу ли я создать такую ​​настраиваемую роль или условие для выполнения требования? Явный отказ в разрешении, который мне нужен здесь

Обновление: ограничение местоположения на уровне организации, это что-то полезное, пожалуйста, помогите мне другим способом, если есть?

Answer 1

В этом случае вы можете полагаться на Условия Cloud IAM . Они добавляют дополнительный уровень детализации к политикам IAM. Доступ к ресурсу предоставляется только в том случае, если выражение условия истинно. Вы можете проверять различные атрибуты, используя доступные переменные, операторы, функции.

Ресурсы, которые принимают условные привязки ролей :

Compute Engine

• Глобальные серверные службы
• Региональные серверные службы
• Межсетевые экраны
• Изображения
• Шаблоны экземпляров
• Экземпляры
• Региональные постоянные диски
• Зональные постоянные диски
• Снимки

В существующем формате имени ресурса имена экземпляров ВМ содержат zone-id, что может быть полезно для ограничений на основе местоположения:

экземпляров Compute Engine projects/project-id/zones/zone-id/instances/instance-id

Затем вы можете использовать Resource атрибуты для создания условий, которые оценивают ресурс в запросе доступа, например:

resource.type == "compute.googleapis.com/Instance" resource.name.startsWith("projects/project-id/zones/zone-id")

Политики IAM, использующие тип экземпляра, в настоящее время не поддерживаются. Соответствующий запрос функции был недавно создан в системе отслеживания проблем. Следите за этим: https://issuetracker.google.com/158524244.

Answer 2

Google Cloud Platform поддерживает ограничения на расположение ресурсов . В соответствующем разделе документации они подробно описаны. Обратитесь к разделу Настройка политики организации документации для точной процедуры, которой необходимо следовать. Но обратите внимание, что в конкретном случае c для Compute Engine существуют следующие ограничения на установленные вами ограничения местоположения ресурсов , связанные с различными аспектами продуктов, такими как снимки и изображения, группы управляемых экземпляров. , Единоличные узлы, et c.