#google-cloud-platform #google-cloud-iam #google-vpc
#google-cloud-platform #google-cloud-iam #google-vpc
Вопрос:
В документах GCP говорится, что все ресурсы в одной сети VPC могут взаимодействовать по умолчанию. Но если бы правила брандмауэра были изменены вручную, чтобы ограничить доступ к какому-либо ресурсу, и в то же время политика IAM разрешала бы доступ к тому же ресурсу, какое из двух имело бы приоритет?
Комментарии:
1. IAM предоставляет доступ с помощью разрешений. Брандмауэры блокируют доступ с / к IP-адресам и / или портам TCP / UDP. Интернет ничего не знает о ролях / разрешениях IAM и не зависит от них. IAM влияет на удостоверения, а не на сетевые подключения, при условии, что вы не используете службу, предоставляющую доступ к удостоверениям, таким как IAP.
Ответ №1:
Правила брандмауэра всегда выигрывают. Действительно, аутентифицирован или нет, авторизован или нет, если трафик заблокирован, вы ничего не сможете сделать.
Предоставьте пользователю авторизацию (с помощью IAM) для доступа по SSH к виртуальной машине, если вы не откроете порт 22, это никогда не сработает.
Будьте осторожны с распространенной путаницей с правилами брандмауэра: вы можете выбрать учетную запись службы в качестве источника вашего правила брандмауэра. Здесь это связано не с авторизацией IAM, а только с идентификатором (учетной записью службы) виртуальной машины.
Запрос, отправленный виртуальной машиной, может иметь правильный идентификатор, разрешенный правилами брандмауэра, но он может быть отклонен целевой службой из-за недостаточного разрешения