Блог

Я хочу ограничить создание виртуальных машин в проектах GCP. Любой обходной путь для этого запроса.

Возможно, вам захочется попробовать роли IAM, если вы правильно сегментируете роли среди пользователей своей организации, вы можете запретить всем пользователям/группам создавать VMw в своем проекте GCP. Вот еще одна ссылка, касающаяся IAM

Роль вычислительного IAM слишком широка. Если вы хотите получить более точный контроль, вам необходимо создать пользовательскую роль без этого разрешения compute.instances.create

Вы можете назначить в IAM только разрешение на создание экземпляра. Вот некоторые документы о том, какие роли вы можете использовать.

В случае IAM каждый метод API в API Compute Engine требует, чтобы личность, отправляющая запрос API, имела соответствующие разрешения на использование ресурса. Разрешения предоставляются путем настройки политик, которые предоставляют роли участнику (пользователю, группе или учетной записи службы) вашего проекта.

В следующих таблицах описаны предопределенные роли IAM вычислительного механизма, а также разрешения, содержащиеся в каждой роли. Каждая роль содержит набор разрешений, подходящий для конкретной задачи. Например, роли администратора экземпляра предоставляют разрешения на управление экземплярами, роли, связанные с сетью, включают разрешения на управление ресурсами, связанными с сетью, а роль безопасности включает разрешения на управление ресурсами, связанными с безопасностью, такими как брандмауэры и SSL-сертификаты.

 Compute Admin role
Name    Description Permissions
roles/compute.admin 
Full control of all Compute Engine resources.
 

Если пользователь будет управлять экземплярами виртуальных машин, настроенными для запуска от имени учетной записи службы, необходимо также предоставить роль роли/iam.serviceAccountUser.

 compute.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
 

нажмите здесь для получения дополнительной документации.