问限制在GCP项目上创建VM

EN

如果在组织的用户中进行适当的角色分段，您可能需要尝试IAM角色，您可以限制所有用户/组在GCP项目上创建VMw。下面是关于IAM的另一个链接

计算IAM角色太宽了。如果您想要更精细的控件，则需要创建一个没有此权限的自定义角色 ( compute.instances.create )。

您可以在IAM中分配创建实例的权限。下面是一些您可以使用的角色的文档。

对于IAM，Compute Engine API中的每个API方法都要求发出API请求的身份具有使用资源的适当权限。通过设置将角色授予项目成员(用户、组或服务帐户)的策略，授予权限。

下表描述了预定义的Compute Engine IAM角色以及每个角色中包含的权限。每个角色都包含一组适合于特定任务的权限。例如，实例管理角色授予管理实例的权限，网络相关角色包括管理网络相关资源的权限，安全角色包括管理与安全相关的资源的权限，如防火墙和SSL证书。

Compute Admin role
Name    Description Permissions
roles/compute.admin 
Full control of all Compute Engine resources.

如果用户将管理配置为作为服务帐户运行的虚拟机实例，则还必须授予roles/iam.serviceAccountUser角色。

compute.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

点击这里有更多的文档。