问题描述
GCP文档说,默认情况下,同一VPC网络中的所有资源都可以通信。但是,如果要手动更改防火墙规则以限制对某些资源的访问,并且同时IAM策略将允许访问同一资源,那么两者中的哪一个优先?
解决方法
防火墙规则总会取胜。实际上,无论是否经过身份验证,是否经过授权,如果流量被阻止,您将无能为力。
向用户授予(通过IAM)通过SSH访问VM的授权,如果您不打开端口22,它将永远无法使用。
请注意与防火墙规则的常见混淆:您可以选择服务帐户作为防火墙规则的来源。在这里,与IAM授权无关,而仅与VM的身份(服务帐户)有关。
VM发送的请求可以具有防火墙规则允许的正确身份,但是由于权限不足,可以被目标服务拒绝