Dokumen ini menjelaskan cara memberikan izin Config Controller untuk mengelola resource Google Cloud Anda.
Hak istimewa terendah
Untuk menggunakan Identity and Access Management dengan aman, Google Cloud menyarankan untuk mengikuti praktik terbaik hak istimewa terendah. Di lingkungan produksi, berikan akun atau proses pengguna hanya hak istimewa yang pada dasarnya penting untuk menjalankan fungsi yang diinginkan.
Izin IAM untuk Config Connector
IAM memberi otorisasi kepada Config Connector untuk mengambil tindakan pada resource Google Cloud .
(Direkomendasikan) Peran bawaan atau kustom
Untuk mengikuti praktik terbaik hak istimewa terendah, berikan
peran bawaan
atau
peran khusus
yang paling terbatas dan memenuhi kebutuhan Anda. Misalnya, jika Anda memerlukan Config Connector untuk mengelola pembuatan cluster GKE, berikan peran Kubernetes Engine Cluster Admin (roles/container.clusterAdmin).
Anda dapat menggunakan rekomendasi peran untuk menentukan peran yang akan diberikan. Anda juga dapat menggunakan Policy Simulator untuk memastikan bahwa mengubah peran tidak akan memengaruhi akses akun utama.
Peran dasar
Sebaiknya miliki izin yang sama di lingkungan non-produksi yang Anda miliki di lingkungan produksi, dengan mengikuti praktik terbaik hak istimewa terendah. Memiliki izin yang sama memiliki manfaat untuk menguji konfigurasi produksi di non-produksi, dan mendeteksi masalah lebih awal.
Namun, untuk situasi tertentu, Anda mungkin ingin mempercepat eksperimen dengan Config Connector. Untuk lingkungan non-produksi, Anda dapat menggunakan salah satu peran dasar sebagai eksperimen, sebelum memutuskan izin yang paling terbatas.
Peran Pemilik (roles/owner) memungkinkan Config Connector mengelola sebagian besar resource Google Cloud di project Anda, termasuk resource IAM.
Peran Editor (roles/editor) memungkinkan sebagian besar kemampuan Config Connector, kecuali konfigurasi Project atau seluruh Organisasi seperti perubahan IAM.
Untuk mempelajari izin IAM untuk Config Connector lebih lanjut: