适用于 Config Controller 的 IAM 权限

本文档介绍了如何向 Config Controller 授予管理 Google Cloud 资源的权限。

最小权限

为了安全地使用 Identity and Access Management,Google Cloud 建议您遵循最小权限最佳实践。在生产环境中,请仅向任何用户账号或进程授予对执行其预期功能至关重要的权限。

适用于 Config Connector 的 IAM 权限

IAM 可授权 Config Connector 对 Google Cloud 资源执行操作。

如需遵循最小权限最佳实践,请授予满足您需求的最受限的预定义角色自定义角色。例如,如果您需要 Config Connector 管理 GKE 集群创建,请授予 Kubernetes Engine Cluster Admin 角色 (roles/container.clusterAdmin)。

您可以改为使用角色建议来确定要授予的角色。您还可以使用 Policy Simulator 来确保更改角色不会影响主账号的访问权限。

基本角色

建议在非生产环境中拥有与生产环境相同的权限,以便遵循最小权限最佳实践。拥有相同的权限有利于在非生产环境中测试生产配置,并更早检测到问题。

尽管如此,在某些情况下,您可能需要加快使用 Config Connector 的实验速度。对于非生产环境,您可以先使用一个基本角色作为实验,然后再确定最受限的权限。

Owner 角色 (roles/owner) 允许 Config Connector 管理项目中的大多数 Google Cloud 资源,包括 IAM 资源。

Editor 角色 (roles/editor) 允许使用大部分 Config Connector 功能,但项目或组织范围内的配置除外(如 IAM 修改)。

如需详细了解适用于 Config Connector 的 IAM 权限,请执行以下操作: