适用于 Config Connector 的 IAM 权限

本主题介绍如何通过限制分配给 Google 服务帐号的 Identity and Access Management (IAM) 权限，来限制 Config Connector 可以创建和管理的 Google Cloud 资源类型。

IAM 会授权您的 Config Connecto 安装对特定资源执行操作。通过限制分配给 Config Connector 服务帐号的权限，您能够更好地控制 Config Connecto 可以创建哪些类型的资源。

为 Config Connector 安装选择权限

安装 Config Connector 之前，请选择 Config Connector 可用于创建和管理 Google Cloud 资源的角色。然后，将该角色应用于您在安装过程中用于配置 Config Connecto 的服务帐号。

如果要使用 Config Connector 创建和管理大多数类型的 Google Cloud 资源，您可以分配 IAM 项目所有者权限。

如果希望向 Config Connector 授予更多有限权限，则可以为 Config Connector 安装分配一个或多个 IAM 权限。以下角色通常分配给 Config Connector 服务帐号。

授予 Editor 角色将允许使用大部分 Config Connector 功能，但项目或组织范围内的配置除外（如 IAM 修改）。

授予 roles/iam.serviceAccountAdmin 权限允许 Config Connector 配置 IAM 服务帐号。

授予 Resource Manager 角色（例如 roles/resourcemanager.folderCreator）允许 Config Connector 管理文件夹和组织。

IAM 还提供创建自定义角色的功能。您可以创建具有一项或多项权限的自定义角色，然后将该自定义角色授予 Config Connector。如需了解详情，请参阅了解 IAM 自定义角色。