Questo documento descrive come concedere le autorizzazioni di Config Controller per gestire le tue Google Cloud risorse.
Principio del privilegio minimo
Per utilizzare Identity and Access Management in modo sicuro, Google Cloud consiglia di seguire la best practice del privilegio minimo. Negli ambienti di produzione, concedi a qualsiasi account utente o processo solo i privilegi essenziali per l'esecuzione delle funzioni previste.
Autorizzazioni IAM per Config Connector
IAM autorizza Config Connector a eseguire azioni sulle Google Cloud risorse.
(Consigliato) Ruoli predefiniti o personalizzati
Per seguire la best practice del privilegio minimo, assegna i ruoli predefiniti o i ruoli personalizzati più limitati che soddisfano le tue esigenze. Ad esempio, se hai bisogno di Config Connector per gestire la creazione del cluster GKE, concedi il ruolo Amministratore di cluster Kubernetes Engine (roles/container.clusterAdmin).
Puoi utilizzare i consigli sui ruoli per determinare quali ruoli concedere. Puoi anche utilizzare Policy Simulator per assicurarti che la modifica del ruolo non influisca sull'accesso dell'entità.
Ruoli di base
Ti consigliamo di avere le stesse autorizzazioni in un ambiente non di produzione che in un ambiente di produzione, seguendo la best practice del privilegio minimo. Avere le stesse autorizzazioni consente di testare le configurazioni di produzione in un ambiente non di produzione e di rilevare i problemi in anticipo.
Detto questo, in alcune situazioni potresti voler velocizzare la sperimentazione con Config Connector. Per gli ambienti non di produzione, puoi utilizzare uno dei ruoli di base come esperimento prima di decidere sulle autorizzazioni più limitate.
Il
ruolo Proprietario
(roles/owner) consente a Config Connector di gestire la maggior parte delle Google Cloud risorse nel
tuo progetto, incluse le risorse IAM.
Il
ruolo Editor
(roles/editor) consente la maggior parte delle funzionalità di Config Connector, ad eccezione delle configurazioni per il progetto o per l'intera organizzazione, come le modifiche IAM.
Per scoprire di più sulle autorizzazioni IAM per Config Connector:
- Leggi Autorizzazioni IAM per Config Connector.
- Leggi la guida alla risoluzione dei problemi relativi alle autorizzazioni di Config Connector.