Config Controller 的 IAM 权限

本文档介绍如何授予 Config Controller 管理您的 Google Cloud 资源的权限。

最小权限

为了安全地使用 Identity and Access Management，Google Cloud 建议遵循最小权限最佳做法。在生产环境中，请仅向任何用户帐号或进程提供执行其预期功能所必需的权限。

适用于 Config Connector 的 IAM 权限

IAM 授权 Config Connector 对 Google Cloud 资源执行操作。

（推荐）预定义或自定义角色

如需遵循最小权限最佳做法，请授予满足您需求的最受限的预定义角色或自定义角色。例如，如果您需要 Config Connector 来管理 GKE 集群创建，请授予 Kubernetes Engine Cluster Admin 角色 (roles/container.clusterAdmin)。

您可以改为使用角色建议来确定要授予的角色。您还可以使用 Policy Simulator 来确保更改角色不会影响主账号的访问权限。

基本角色

建议在非生产环境中拥有与生产环境中相同的权限，并遵循最小权限最佳实践。拥有相同权限的好处是可以在非生产环境中测试生产配置，并尽早检测到问题。

也就是说，在某些情况下，您可能需要加快对 Config Connector 的实验。对于非生产环境，您可以先使用某个基本角色作为实验，然后再确定最受限的权限。

借助 Owner 角色 (roles/owner)，Config Connector 可以管理项目中的大多数 Google Cloud 资源，包括 IAM 资源。

“编辑者”角色 (roles/editor) 允许使用大多数 Config Connector 功能，但项目或组织范围的配置（例如 IAM 修改）除外。

如需详细了解 Config Connector 的 IAM 权限，请执行以下操作：

• 阅读 Config Connector 的 IAM 权限。
• 阅读 Config Connector 权限问题排查指南。