Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
GCP 文档说,默认情况下,同一 VPC 网络中的所有资源都可以通信。但是,如果要手动更改防火墙规则以限制对某些资源的访问,同时 IAM 策略将允许访问同一资源,那么两者中的哪一个会优先?
防火墙规则总是赢。事实上,无论是否经过身份验证,是否授权,如果流量被阻止,您将无能为力。
授予用户通过 SSH 访问 VM 的授权(使用 IAM),如果您不打开端口 22,它将永远无法工作。
请注意与防火墙规则的常见混淆:您可以选择服务帐户作为防火墙规则的来源。在这里,与 IAM 授权无关,而仅与 VM 的身份(服务帐户)有关。
虚拟机发送的请求可以具有防火墙规则允许的正确身份,但可能因权限不足而被目标服务拒绝