En este tema se describe cómo limitar los tipos de recursos de Google Cloud que Config Connector puede crear y administrar mediante la limitación de los permisos de la administración de identidades y accesos (IAM) asignados a tu cuenta de servicio de Google.
Permisos de IAM para Config Connector
IAM autoriza la instalación de Config Connector para tomar medidas sobre recursos específicos. Si limitas los permisos asignados a tu cuenta de servicio de Config Connector, tendrás más control sobre los tipos de recursos que puede crear Config Connector.
Selecciona permisos para la instalación de Config Connector
Antes de instalar Config Connector, selecciona las funciones que Config Connector puede usar para crear y administrar recursos de Google Cloud. Luego, aplica la función a la cuenta de servicio con la que configuraste Config Connector durante la instalación.
Permisos de propietario del proyecto
Si deseas usar Config Connector para crear y administrar la mayoría de los tipos de recursos de Google Cloud, puedes asignar permisos de propietario del proyecto de IAM.
Permisos limitados
Si prefieres otorgar permisos más limitados a Config Connector, puedes asignar uno o más permisos de IAM a tu instalación de Config Connector. Por lo general, las siguientes funciones se asignan a la cuenta de servicio de Config Connector.
Editor
Otorgar la función de editor permite la mayoría de las funciones de Config Connector, excepto las configuraciones generales de proyecto o de organización, como las modificaciones de IAM.
Administrador de la cuenta de servicio de IAM
Otorgar permisos roles/iam.serviceAccountAdmin permite que Config Connector configure las cuentas de servicio de IAM.
Resource Manager
Otorgar una función de administrador de recursos como roles/resourcemanager.folderCreator permite que Config Connector administre carpetas y organizaciones.
Funciones personalizadas
IAM también proporciona la capacidad de crear funciones personalizadas. Puedes crear una función personalizada con uno o más permisos y, luego, otorgar esa función personalizada a Config Connector. Para obtener más información, consulta Comprende las funciones personalizadas de IAM.