Questo documento descrive come concedere a Config Controller le autorizzazioni per gestire le tue risorse Google Cloud.
Principio del privilegio minimo
Per utilizzare Identity and Access Management in modo sicuro, Google Cloud consiglia di seguire le privilegio minimo best practice. Negli ambienti di produzione, assegna tutti gli account utente o i processi solo i privilegi essenziali per eseguire l'operazione prevista funzioni.
Autorizzazioni IAM per Config Connector
IAM autorizza Config Connector a eseguire azioni sulle risorse Google Cloud.
Ruoli predefiniti o personalizzati (consigliato)
Per seguire la best practice relativa privilegio minimo, concedi le autorizzazioni
ruoli predefiniti
o
ruoli personalizzati
che soddisfano le tue esigenze. Ad esempio, se hai bisogno di Config Connector per gestire
creazione di un cluster GKE, concedi
Ruolo Amministratore cluster Kubernetes Engine
(roles/container.clusterAdmin).
Puoi utilizzare i consigli sui ruoli per determinare quali ruoli concedere. Puoi anche utilizzare Policy Simulator per assicurarti che la modifica del ruolo non influisca sull'accesso dell'entità.
Ruoli di base
Ti consigliamo di disporre delle stesse autorizzazioni in un ambiente non di produzione di cui disponi in un ambiente di produzione, seguendo il privilegio minimo pratica. Avere le stesse autorizzazioni ha il vantaggio di testare l'ambiente di produzione le configurazioni non di produzione e rilevando anticipatamente i problemi.
Detto questo, in alcune situazioni potresti voler velocizzare la sperimentazione con Config Connector. Per gli ambienti non di produzione, puoi utilizzare uno dei ruoli di base un esperimento, prima di decidere le autorizzazioni più limitate.
Il
ruolo Proprietario
(roles/owner) consente a Config Connector di gestire la maggior parte delle risorse Google Cloud nel
tuo progetto, incluse le risorse IAM.
La
Ruolo di Editor
(roles/editor) consente la maggior parte delle funzionalità di Config Connector, ad eccezione di quelle di progetto o
Configurazioni a livello di organizzazione, ad esempio le modifiche IAM.
Per scoprire di più sulle autorizzazioni IAM per Config Connector:
- Leggi le autorizzazioni IAM per Config Connector.
- Leggi la guida alla risoluzione dei problemi relativi alle autorizzazioni di Config Connector.