IAM-Berechtigungen für Config Controller

In diesem Dokument wird beschrieben, wie Sie Config Controller-Berechtigungen zum Verwalten Ihrer Google Cloud-Ressourcen gewähren.

Geringste Berechtigung

Google Cloud empfiehlt, die Best Practice mit der geringsten Berechtigung anzuwenden, um Identity and Access Management sicher zu verwenden. Weisen Sie Nutzerkonten oder Prozessen in Produktionsumgebungen nur die Berechtigungen zu, die für die Ausführung der gewünschten Funktionen unbedingt erforderlich sind.

IAM-Berechtigungen für Config Connector

IAM autorisiert Config Connector zum Ausführen von Aktionen für Google Cloud-Ressourcen.

Weisen Sie die vordefinierten Rollen mit den größten Einschränkungen oder benutzerdefinierte Rollen zu, die Ihren Anforderungen entsprechen, um die Best Practice mit den geringsten Berechtigungen zu befolgen. Wenn Sie beispielsweise Config Connector zum Verwalten der GKE-Clustererstellung benötigen, weisen Sie die Rolle „Administrator für Kubernetes Engine-Cluster“ (roles/container.clusterAdmin) zu.

Anhand von Rollenempfehlungen können Sie ermitteln, welche Rollen stattdessen gewährt werden sollen. Sie können auch den Richtliniensimulator verwenden, damit sich eine Änderung der Rolle nicht auf den Zugriff des Hauptkontos auswirkt.

Einfache Rollen

Es wird empfohlen, in einer Nicht-Produktionsumgebung dieselben Berechtigungen wie in einer Produktionsumgebung zu haben. Hierbei gilt die Best Practice der geringsten Berechtigung. Dieselben Berechtigungen haben den Vorteil, dass die Produktionskonfigurationen in der Nicht-Produktionsumgebung getestet und Probleme früher erkannt werden.

In bestimmten Situationen möchten Sie jedoch möglicherweise schneller mit Config Connector experimentieren. In Nicht-Produktionsumgebungen können Sie eine der einfachen Rollen zu Testzwecken verwenden, bevor Sie sich für die am stärksten eingeschränkten Berechtigungen entscheiden.

Mit der Rolle „Inhaber“ (roles/owner) kann Config Connector die meisten Google Cloud-Ressourcen in Ihrem Projekt verwalten, einschließlich IAM-Ressourcen.

Die Rolle „Bearbeiter“ (roles/editor) ermöglicht die meisten Config Connector-Funktionen mit Ausnahme von projekt- oder organisationsweiten Konfigurationen wie IAM-Änderungen.

Weitere Informationen zu IAM-Berechtigungen für Config Connector: