In diesem Thema wird beschrieben, wie Sie die Typen von Google Cloud-Ressourcen einschränken, die mit Config Connector erstellt und verwaltet werden können. Dazu beschränken Sie die IAM-Berechtigungen (Cloud Identity and Access Management), die Ihrem Google-Dienstkonto zugewiesen werden.
IAM-Berechtigungen für Config Connector
Cloud IAM autorisiert Ihre Config Connector-Installation, Aktionen für bestimmte Ressourcen auszuführen. Durch Beschränkung der Berechtigungen für Ihr Config Connector-Dienstkonto lässt sich präziser steuern, welche Typen von Ressourcen Config Connector erstellen kann.
Berechtigungen für Ihre Config Connector-Installation auswählen
Bevor Sie Config Connector installieren, wählen Sie die Rolle aus, mit denen Config Connector Google Cloud-Ressourcen erstellen und verwalten kann. Anschließend wenden Sie die entsprechende Rolle auf das Dienstkonto an, mit dem Sie Config Connector bei der Installation konfigurieren.
Berechtigungen des Projektinhabers
Wenn Sie mit Config Connector die meisten Arten von Google Cloud-Ressourcen erstellen und verwalten möchten, können Sie die IAM-Projektinhaber-Berechtigungen zuweisen.
Eingeschränkte Berechtigungen
Wenn Sie die Berechtigungen für Config Connector stärker einschränken möchten, haben Sie die Möglichkeit, Ihrer Config Connector-Installation eine oder mehrere IAM-Berechtigungen zu gewähren. In der Regel werden dem Config Connector-Dienstkonto die im Folgenden aufgeführten Rollen zugewiesen.
Editor
Durch Zuweisen der Rolle Bearbeiter sind die meisten Config Connector-Funktionen verfügbar, mit Ausnahme von projekt- oder organisationsbezogenen Konfigurationen wie IAM-Änderungen.
IAM-Dienstkontoadministrator
Mit Berechtigungen vom Typ roles/iam.serviceAccountAdmin
kann Config Connector IAM-Dienstkonten konfigurieren.
Resource Manager
Mit einer Resource Manager-Rolle wie roles/resourcemanager.folderCreator
kann Config Connector Ordner und Organisationen verwalten.
Benutzerdefinierte Rollen
IAM bietet darüber hinaus die Möglichkeit, benutzerdefinierte Rollen zu erstellen. Sie können eine benutzerdefinierte Rolle mit einer oder mehreren Berechtigungen erstellen und sie dann Config Connector zuweisen. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten IAM-Rollen.