Autorizzazioni IAM per Config Controller

Questo documento descrive come concedere le autorizzazioni di Config Controller per gestire le risorse Google Cloud.

Privilegio minimo

Per utilizzare Identity and Access Management in modo sicuro, Google Cloud consiglia di seguire la best practice del privilegio minimo. Negli ambienti di produzione, concedi a qualsiasi account utente o processo solo i privilegi che sono essenzialmente vitali per eseguire le funzioni previste.

Autorizzazioni IAM per Config Connector

IAM autorizza Config Connector a eseguire azioni sulle risorse Google Cloud.

Per seguire la best practice del privilegio minimo, concedi i ruoli predefiniti o i ruoli personalizzati più limitati in base alle tue esigenze. Ad esempio, se hai bisogno di Config Connector per gestire la creazione del cluster GKE, concedi il ruolo Amministratore cluster Kubernetes Engine (roles/container.clusterAdmin).

Puoi utilizzare i suggerimenti per i ruoli per determinare quali ruoli concedere. Puoi anche utilizzare il Simulatore di criteri per assicurarti che la modifica del ruolo non influisca sull'accesso dell'entità.

Ruoli di base

In un ambiente non di produzione, ti consigliamo di disporre delle stesse autorizzazioni dell'ambiente di produzione, seguendo la best practice del privilegio minimo. Avere le stesse autorizzazioni consente di testare le configurazioni di produzione in ambienti non di produzione e di rilevare in anticipo i problemi.

Detto questo, in determinate situazioni potresti voler velocizzare gli esperimenti con Config Connector. Per gli ambienti non di produzione, puoi utilizzare uno dei ruoli di base come esperimento, prima di decidere le autorizzazioni più limitate.

Il ruolo Proprietario (roles/owner) consente a Config Connector di gestire la maggior parte delle risorse Google Cloud nel progetto, incluse le risorse IAM.

Il ruolo Editor (roles/editor) consente la maggior parte delle funzionalità di Config Connector, ad eccezione delle configurazioni a livello di progetto o di organizzazione, come le modifiche IAM.

Per scoprire di più sulle autorizzazioni IAM per Config Connector: