In diesem Dokument wird beschrieben, wie Sie Config Controller Berechtigungen zum Verwalten Ihrer Google Cloud-Ressourcen erteilen.
Geringste Berechtigung
Für eine sichere Nutzung von Identity and Access Management empfiehlt Google Cloud, die Best Practice zur geringsten Berechtigung anzuwenden. Weisen Sie in Produktionsumgebungen Nutzerkonten oder Prozessen nur die Berechtigungen zu, die für die Ausführung der vorgesehenen Funktionen entscheidend sind.
IAM-Berechtigungen für Config Connector
IAM autorisiert Config Connector, Aktionen für Google Cloud-Ressourcen auszuführen.
(Empfohlen) Vordefinierte oder benutzerdefinierte Rollen
Beachten Sie, dass Sie gemäß der Best Practice die geringstmöglichen Berechtigungen vergeben können. Weisen Sie dazu vordefinierte Rollen mit den größten Einschränkungen oder benutzerdefinierte Rollen zu, die Ihren Anforderungen entsprechen. Wenn Sie beispielsweise Config Connector zum Verwalten der Erstellung Ihres GKE-Clusters benötigen, weisen Sie die Rolle "Kubernetes Engine-Cluster-Administrator" (roles/container.clusterAdmin
) zu.
Mithilfe von Rollenempfehlungen können Sie ermitteln, welche Rollen stattdessen zugewiesen werden sollen. Sie können auch den Richtliniensimulator verwenden, um sicherzustellen, dass sich eine Änderung der Rolle nicht auf den Zugriff des Hauptkontos auswirkt.
Einfache Rollen
Es wird empfohlen, in einer Nicht-Produktionsumgebung dieselben Berechtigungen wie in einer Produktionsumgebung zu haben. Beachten Sie dabei die Best Practice, die am wenigsten Berechtigungen verwendet. Die gleichen Berechtigungen haben den Vorteil, dass Sie die Produktionskonfigurationen in der Nicht-Produktionsumgebung testen und Probleme früher erkennen können.
In bestimmten Situationen sollten Sie jedoch das Experimentieren mit Config Connector beschleunigen. In Nicht-Produktionsumgebungen können Sie eine der einfachen Rollen als Test verwenden, bevor Sie sich für die am stärksten eingeschränkten Berechtigungen entscheiden.
Mit der Inhaberrolle (roles/owner
) kann Config Connector die meisten Google Cloud-Ressourcen in Ihrem Projekt verwalten, einschließlich IAM-Ressourcen.
Die Bearbeiterrolle (roles/editor
) ermöglicht die meisten Config Connector-Funktionen mit Ausnahme von projekt- oder organisationsweiten Konfigurationen wie IAM-Änderungen.
Weitere Informationen zu IAM-Berechtigungen für Config Connector:
- Lesen Sie IAM-Berechtigungen für Config Connector.
- Lesen Sie den Leitfaden zur Fehlerbehebung bei Config Connector-Berechtigungen.