IAM-Berechtigungen für Config Connector

In diesem Thema wird beschrieben, wie Sie die Typen von Google Cloud-Ressourcen einschränken, die mit Config Connector erstellt und verwaltet werden können. Dazu beschränken Sie die IAM-Berechtigungen (Cloud Identity and Access Management), die Ihrem Google-Dienstkonto zugewiesen werden.

IAM-Berechtigungen für Config Connector

Cloud IAM autorisiert Ihre Config Connector-Installation, Aktionen für bestimmte Ressourcen auszuführen. Durch Beschränkung der Berechtigungen für Ihr Config Connector-Dienstkonto lässt sich präziser steuern, welche Typen von Ressourcen Config Connector erstellen kann.

Berechtigungen für Ihre Config Connector-Installation auswählen

Bevor Sie Config Connector installieren, wählen Sie die Rolle aus, mit denen Config Connector Google Cloud-Ressourcen erstellen und verwalten kann. Anschließend wenden Sie die entsprechende Rolle auf das Dienstkonto an, mit dem Sie Config Connector bei der Installation konfigurieren.

Berechtigungen des Projektinhabers

Wenn Sie mit Config Connector die meisten Arten von Google Cloud-Ressourcen erstellen und verwalten möchten, können Sie die IAM-Projektinhaber-Berechtigungen zuweisen.

Eingeschränkte Berechtigungen

Wenn Sie die Berechtigungen für Config Connector stärker einschränken möchten, haben Sie die Möglichkeit, Ihrer Config Connector-Installation eine oder mehrere IAM-Berechtigungen zu gewähren. In der Regel werden dem Config Connector-Dienstkonto die im Folgenden aufgeführten Rollen zugewiesen.

Editor

Durch Zuweisen der Rolle Bearbeiter sind die meisten Config Connector-Funktionen verfügbar, mit Ausnahme von projekt- oder organisationsbezogenen Konfigurationen wie IAM-Änderungen.

IAM-Dienstkontoadministrator

Mit Berechtigungen vom Typ roles/iam.serviceAccountAdmin kann Config Connector IAM-Dienstkonten konfigurieren.

Resource Manager

Mit einer Resource Manager-Rolle wie roles/resourcemanager.folderCreator kann Config Connector Ordner und Organisationen verwalten.

Benutzerdefinierte Rollen

IAM bietet darüber hinaus die Möglichkeit, benutzerdefinierte Rollen zu erstellen. Sie können eine benutzerdefinierte Rolle mit einer oder mehreren Berechtigungen erstellen und sie dann Config Connector zuweisen. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten IAM-Rollen.

Nächste Schritte

Config Connector installieren