https://cloud.google.com/load-balancing/docs/tcp

正確な抜粋からの包括的かつ詳細な説明：
要件は、フォルダレベルで適用される予防的制御と検出的制御（構成ミスの防止と検出）の組み合わせであり、業界固有の（事前定義された標準）ポリシーと社内／カスタムポリシーの両方を満たす必要があります。このための専用のGoogle Cloud機能は、Security Command Center（SCC）のセキュリティ態勢管理です。
態勢と適用：セキュリティ態勢は、SCC Premium/Enterpriseの機能であり、クラウド資産のセキュリティ状態を定義、展開、監視できます。組織、フォルダ、またはプロジェクトレベルで態勢を展開し、標準を適用できます。
カスタム ポリシーと定義済みポリシー: ポスチャは次の両方を組み合わせます。
定義済みポリシー: セキュリティヘルスアナリティクス（SHA）検出器とマッピングされた標準（CIS、ISOなど）を使用する
27001、PCI DSS は、業界固有のコンプライアンス要件 (検出) をカバーしています。
カスタム ポリシー: カスタム組織ポリシー制約とカスタム SHA モジュールを使用すると、社内ポリシー (防止と検出) を適用および検出できます。
抜粋:
Google Cloud では、Security Command Center のセキュリティ ポスチャ サービスを使用して、セキュリティ ポスチャを定義および展開し、Google Cloud リソースのセキュリティ ステータスを監視できます...」（出典 2.3）
「ポスチャは組織レベル、フォルダレベル、またはプロジェクトレベルで展開できます。」(ソース 2.3)
セキュリティ ポスチャ サービスには、次のコンポーネントが含まれます: ポスチャ。組織がセキュリティ標準を満たすために必要な予防的制御と検出的制御を実施する 1 つ以上のポリシー セット...
サポートされているポリシーは次のとおりです: 組織ポリシー制約（カスタム制約を含む）
[予防的]。カスタムモジュールを含むセキュリティヘルスアナリティクス検出器[検出的]。(出典2.3、8.2) オプションCは、必要な範囲(フォルダ)で適用されるカスタムポリシーと定義済みポリシーをサポートするポスチャファイルを使用して、予防と検出の両方を実現する包括的なソリューションを正しく識別します。

各部門メンバーが、任意の部門メンバーが作成したすべての新しいプロジェクトリソースに対して自動的に読み取り専用アクセス権を持つように動作を設定するには、Google Cloud のフォルダ構造と IAM ロールを効果的に使用する必要があります。手順は以下のとおりです。
部門別フォルダの作成：組織内に各部門のフォルダを作成します。フォルダはリソースを整理し、ポリシーと権限を適用するための階層構造を構築するのに役立ちます。
Google グループに IAM ロールを割り当てる：各部門に関連付けられた Google グループに、フォルダレベルでプロジェクト閲覧者ロールを割り当てます。これにより、グループのすべてのメンバーに必要な権限が付与されます。
継承された権限：部門メンバーが所属する部門のフォルダ内に新しいプロジェクトを作成すると、そのフォルダに割り当てられた権限が新しいプロジェクトに継承されます。そのため、部門メンバー全員が自動的にプロジェクトのリソースへの読み取り専用アクセス権を持つことになります。
GCP コンソールで [IAM と管理] に移動します。
左側のメニューから「フォルダー」を選択します。
部門ごとに、組織の下に新しいフォルダーを作成します。
新しく作成したフォルダを選択し、「権限」タブに移動します。
新しいロールを割り当てるには、「追加」をクリックします。
部門の Google グループのメール アドレスを入力します。
グループに「プロジェクト閲覧者」ロールを割り当てます。
アクセス制限：権限はフォルダレベルで適用されるため、特定の部門のGoogleグループのメンバーのみが、そのフォルダ内に作成されたプロジェクトへの読み取り専用アクセス権限を持ちます。他の部門は、明示的に許可されない限りアクセスできません。
これらの手順に従うことで、新しいプロジェクトごとに手動で構成することなく、部門メンバーがそれぞれのプロジェクトに必要なアクセス権を持つことができるようになります。
Google Cloud IAM ドキュメント
Google Cloud Resource Manager のドキュメント

オンプレミスホストとGoogle Cloud API間のプライベート接続を、コストと運用効率を最適化しながら確保するには、専用またはパートナー相互接続の使用が最適なソリューションです。この設定により、プライベートIPアドレスによる信頼性の高い高帯域幅の接続が確保されます。
相互接続タイプを選択: 帯域幅のニーズと Google Cloud のロケーションへの近さに基づいて、Dedicated Interconnect と Partner Interconnect のどちらかを選択します。
相互接続の設定:
Dedicated Interconnect の場合は、Google Cloud Console から回線を注文します。
パートナー相互接続の場合は、サポートされているサービス プロバイダーを選択し、そのプロバイダーを通じて接続を注文します。
VPC とプライベート Google アクセスを構成します。
VPC でプライベート Google アクセスを有効にして、オンプレミス ホストが Google API にプライベートにアクセスできるようにします。
「VPC ネットワーク」 -> 「プライベート Google アクセス」に移動し、サブネットに対して有効にします。
接続を確立する: ネットワーク チームおよび (該当する場合) パートナー相互接続プロバイダーと協力して、物理接続と論理接続を設定します。
接続のテスト: オンプレミス ホストがプライベート IP アドレスを使用して Google Cloud サービスにアクセスできることを確認します。
参照：
Google Cloud Interconnect の概要
プライベートGoogleアクセスの設定