在 Azure 中,可以创建一个策略,例如,“不允许端口 80 向 Internet 开放”。或者仅允许特定大小的虚拟机。是否有 GCP 结构可以防止违反某些规则? 我的场景是拥有项目所有者权限的服务主体,但 SP 无法修改“标准策略”。
provider "google" {
credentials = file("<YOUR-CREDENTIALS-FILE>.json")
project = "<YOUR-PROJECT-ID>"
}
resource "google_organization_policy" "allowed_vm_sizes" {
org_id = "<YOUR-ORGANIZATION-ID>"
constraint = "compute.vmExternalIpAccess"
boolean_policy {
enforced = true
}
list_policy {
allow {
all = false
values = [
"zones/us-central1-a/machineTypes/n1-standard-1",
"zones/us-central1-a/machineTypes/n1-standard-2"
]
}
}
}