O VPC Service Controls permite isolar recursos de um serviço do Google Cloud multilocatário compatível para reduzir os riscos de exfiltração de dados. É possível usar o Terraform para adicionar um projeto em uma pasta para um perímetro de serviço.
Para adicionar automaticamente uma pasta a um perímetro de serviço, use as funções do Cloud Run. Quando a função detecta que um novo projeto está sendo adicionado à pasta, ela executa o script do Terraform para adicionar o novo projeto ao perímetro. Da mesma forma, a função remove automaticamente projetos do do perímetro se forem retirados da pasta.
Consulte mais informações em Pasta protegida automaticamente.