Config Connector の IAM 権限

このトピックでは、Google サービス アカウントに割り当てられた Identity and Access Management(IAM)権限を制限することで、Config Connector が作成および管理できる Google Cloud リソースの種類を制限する方法について説明します。

Config Connector の IAM 権限

IAM は、Config Connector のインストールが特定のリソースに対してアクションを実行することを承認します。Config Connector サービス アカウントに割り当てる権限を制限することで、Config Connector が作成できるリソースの種類をより細かく制御できます。

Config Connector のインストールの権限の選択

Config Connector をインストールする前に、Config Connector が Google Cloud リソースの作成と管理に使用できるロールを選択します。次に、インストール中に Config Connector を構成するサービス アカウントにロールを適用します。

プロジェクト オーナーの権限

Config Connector を使用してほとんどの種類の Google Cloud リソースを作成、管理するには、IAM プロジェクト オーナーの権限を割り当てます。

制限された権限

Config Connector に、より限定的な権限を付与する場合は、Config Connector のインストールに 1 つ以上の IAM 権限を割り当てることができます。以下のロールは、一般的に Config Connector サービス アカウントに割り当てられます。

編集者

編集者ロールを付与すると、IAM の変更などプロジェクトや組織全体の構成を除く、ほとんどの Config Connector 機能が許可されます。

IAM サービス アカウント管理者

roles/iam.serviceAccountAdmin 権限を付与すると、Config Connector で IAM サービス アカウントを構成できます。

Resource Manager

roles/resourcemanager.folderCreator などのリソース マネージャーのロールを付与すると、Config Connector でフォルダと組織を管理できます。

カスタムの役割

IAM は、カスタマイズされたロールを作成する機能も備えています。1 つ以上の権限を持つカスタムロールを作成し、Config Connector にそのカスタムロールを付与できます。詳細については、IAM カスタムロールについてをご覧ください。

次のステップ

Config Connector をインストールする