이 문서에서는 구성 컨트롤러에 Google Cloud 리소스 관리 권한을 부여하는 방법을 설명합니다.
최소 권한
Google Cloud는 Identity and Access Management를 안전하게 사용하기 위해 최소 권한 권장사항을 따르는 것을 권장합니다. 프로덕션 환경에서는 의도한 기능을 수행하는 데 본질적으로 중요한 권한만 사용자 계정 또는 프로세스에 부여합니다.
Config Connector의 IAM 권한
IAM은 구성 커넥터가 Google Cloud 리소스에 대해 조치를 취할 수 있는 권한을 부여합니다.
(권장) 사전 정의된 역할 또는 커스텀 역할
최소 권한 권장사항을 따르려면 적합하지만 가장 제한된 사전 정의된 역할 또는 커스텀 역할을 부여합니다. 예를 들어 GKE 클러스터 생성을 관리하기 위해 구성 커넥터가 필요한 경우 Kubernetes Engine 클러스터 관리자 역할(roles/container.clusterAdmin
)을 부여합니다.
역할 권장사항을 사용하여 대신 부여할 역할을 결정할 수 있습니다. 정책 시뮬레이터를 사용하여 역할을 변경해도 주 구성원의 액세스에 영향을 미치지 않도록 할 수 있습니다.
기본 역할
최소 권한 권장사항에 따라 프로덕션 환경과 비프로덕션 환경에서 동일한 권한을 갖는 것이 좋습니다. 동일한 권한을 가지면 비프로덕션에서 프로덕션 구성을 테스트하고 문제를 조기에 감지할 수 있는 이점이 있습니다.
그렇지만 특정 상황에서 구성 커넥터의 실험 속도를 높여야 하는 경우도 있습니다. 비프로덕션 환경의 경우 가장 제한된 권한을 결정하기 전 기본 역할 중 하나를 실험으로 사용할 수 있습니다.
소유자 역할(roles/owner
)은 구성 커넥터가 IAM 리소스를 포함하여 프로젝트에서 대부분의 Google Cloud 리소스를 관리하는 것을 허용합니다.
편집자 역할(roles/editor
)은 IAM 수정과 같은 프로젝트 또는 조직 전체 구성을 제외한 대부분의 구성 커넥터 기능을 허용합니다.
구성 커넥터의 IAM 권한에 대해 자세히 알아보려면 다음 안내를 따르세요.