En este documento, se describe cómo otorgar permisos a Config Controller para que administre tus recursos de Google Cloud.
Privilegio mínimo
Para usar Identity and Access Management de forma segura, Google Cloud recomienda seguir la práctica recomendada de privilegios mínimos. En los entornos de producción, otorga a las cuentas de usuario o a los procesos solo los privilegios que son esenciales para realizar las funciones previstas.
Permisos de IAM para Config Connector
IAM autoriza a Config Connector a realizar acciones en los recursos de Google Cloud.
Roles predefinidos o personalizados (recomendado)
Para seguir la práctica recomendada de privilegio mínimo, otorga los roles predefinidos o los roles personalizados más limitados que satisfagan tus necesidades. Por ejemplo, si necesitas que Config Connector administre la creación de tu clúster de GKE, otorga el rol de administrador de clústeres de Kubernetes Engine (roles/container.clusterAdmin).
Puedes usar las recomendaciones de roles para determinar qué roles otorgar en su lugar. También puedes usar Policy Simulator para asegurarte de que el cambio del rol no afecte el acceso de la principal.
Funciones básicas
Se recomienda tener los mismos permisos en un entorno que no sea de producción que en un entorno de producción, siguiendo la práctica recomendada de privilegio mínimo. Tener los mismos permisos tiene el beneficio de probar las configuraciones de producción en entornos que no son de producción y detectar problemas antes.
Dicho esto, en ciertas situaciones, es posible que desees acelerar el experimento con Config Connector. En el caso de los entornos que no son de producción, puedes usar uno de los roles básicos como un experimento, antes de decidirte por los permisos más limitados.
El rol de propietario (roles/owner) permite que Config Connector administre la mayoría de los recursos de Google Cloud en tu proyecto, incluidos los recursos de IAM.
El rol de editor (roles/editor) permite la mayoría de las funciones de Config Connector, excepto las configuraciones de todo el proyecto o la organización, como las modificaciones de IAM.
Para obtener más información sobre los permisos de IAM para Config Connector, consulta lo siguiente:
- Lee los permisos de IAM para Config Connector.
- Lee la guía de solución de problemas de permisos de Config Connector.