GCE/GKEのアクセス制御に関しまして、
Cloud Nextの以下セッションにて
https://youtu.be/2Npfrrv8Bss?t=1861
「スコープはフルアクセスとし、IAMにて制御する」と講義してくださっています。

いわばIAMにてブラックリスト制御になるかと思いますが、
しかしながらIAMによる制御は「何かを許可」することは出来ると思うのですが
「何かを拒否」するような制御は出来ないように思えます。

上記は
「スコープは全拒否とし、IAMにて制御する」のような
IAMによるホワイトリスト制御が正しいのではないでしょうか?

IAMで「何かを拒否」する制御方法がありましたらご教示お願いいたします。