本文档介绍了如何向 Config Controller 授予管理 Google Cloud 资源的权限。
最小权限
为了安全地使用 Identity and Access Management,Google Cloud 建议您遵循最小权限最佳实践。在生产环境中,请仅向任何用户账号或进程授予对执行其预期功能至关重要的权限。
适用于 Config Connector 的 IAM 权限
IAM 可授权 Config Connector 对 Google Cloud 资源执行操作。
(推荐)预定义角色或自定义角色
如需遵循最小权限最佳实践,请授予满足您需求的最受限的预定义角色或自定义角色。例如,如果您需要 Config Connector 管理 GKE 集群创建,请授予 Kubernetes Engine Cluster Admin 角色 (roles/container.clusterAdmin)。
您可以改为使用角色建议来确定要授予的角色。您还可以使用 Policy Simulator 来确保更改角色不会影响主账号的访问权限。
基本角色
建议在非生产环境中拥有与生产环境相同的权限,以便遵循最小权限最佳实践。拥有相同的权限有利于在非生产环境中测试生产配置,并更早检测到问题。
尽管如此,在某些情况下,您可能需要加快使用 Config Connector 的实验速度。对于非生产环境,您可以先使用一个基本角色作为实验,然后再确定最受限的权限。
Owner 角色 (roles/owner) 允许 Config Connector 管理项目中的大多数 Google Cloud 资源,包括 IAM 资源。
Editor 角色 (roles/editor) 允许使用大部分 Config Connector 功能,但项目或组织范围内的配置除外(如 IAM 修改)。
如需详细了解适用于 Config Connector 的 IAM 权限,请执行以下操作: