GCP文档说,默认情况下,同一VPC网络中的所有资源都可以通信。但是,如果要手动更改防火墙规则以限制对某些资源的访问,并且同时IAM策略将允许访问同一资源,则应优先使用两者中的哪一个?
防火墙规则总能取胜。实际上,无论是否经过身份验证,是否经过授权,如果流量被阻止,您将无能为力。
向用户授予(通过IAM)通过SSH访问VM的授权,如果您不打开端口22,它将永远无法使用。
请注意与防火墙规则的常见混淆:您可以选择一个服务帐户作为防火墙规则的来源。在这里,与IAM授权无关,而仅与VM的身份(服务帐户)有关。
VM发送的请求可以具有防火墙规则所允许的正确身份,但是由于权限不足,它可以被目标服务拒绝
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句