哪些 IAM 权限和防火墙规则优先

Which of the IAM permissions and firewall rules take precedence

GCP 文档说同一 VPC 网络中的所有资源默认情况下都可以通信。但是,如果要手动更改防火墙规则以限制对某些资源的访问,同时 IAM 策略将允许访问同一资源,那么两者中哪一个优先?

防火墙规则总是获胜。确实,认证与否,授权与否,如果流量被阻止,您将无能为力。

授予用户通过 SSH 访问 VM 的权限(使用 IAM),如果不打开端口 22,它永远不会工作。

注意与防火墙规则的常见混淆:您可以 select 服务帐户作为防火墙规则的来源。这里与IAM授权无关,只与VM的身份(服务账号)有关。

虚拟机发送的请求可以有正确的身份被防火墙规则允许但是它可能因为权限不足被目标服务拒绝