Ce document explique comment autoriser Config Controller à gérer vos ressources Google Cloud.
Moindre privilège
Pour utiliser Identity and Access Management en toute sécurité, Google Cloud recommande de suivre le principe du moindre privilège. Dans les environnements de production, n'accordez aux comptes utilisateur ou aux processus que les droits qui sont essentiels à l'exécution des fonctions prévues.
Autorisations IAM pour Config Connector
IAM autorise Config Connector à effectuer des actions sur les ressources Google Cloud.
(Recommandé) Rôles prédéfinis ou personnalisés
Pour suivre le principe du moindre privilège, attribuez les rôles prédéfinis ou les rôles personnalisés les plus limités qui répondent à vos besoins. Par exemple, si vous avez besoin de Config Connector pour gérer la création de votre cluster GKE, accordez le rôle Administrateur de cluster Kubernetes Engine (roles/container.clusterAdmin).
Vous pouvez utiliser les recommandations de rôles pour déterminer les rôles à attribuer à la place. Vous pouvez également vous servir de Policy Simulator pour vous assurer que la modification du rôle n'affecte pas l'accès du compte principal.
Rôles de base
Il est recommandé de disposer des mêmes autorisations dans un environnement hors production que dans un environnement de production, en suivant le principe du moindre privilège. Le fait de disposer des mêmes autorisations permet de tester les configurations de production dans un environnement hors production et de détecter les problèmes plus tôt.
Cela dit, dans certaines situations, vous pouvez accélérer les tests avec Config Connector. Pour les environnements hors production, vous pouvez utiliser l'un des rôles de base comme test, avant de choisir les autorisations les plus limitées.
Le rôle Propriétaire (roles/owner) permet à Config Connector de gérer la plupart des ressources Google Cloud de votre projet, y compris les ressources IAM.
Le rôle Éditeur (roles/editor) autorise la plupart des fonctionnalités de Config Connector, à l'exception des configurations à l'échelle du projet ou de l'organisation, telles que les modifications IAM.
Pour en savoir plus sur les autorisations IAM pour Config Connector :
- Lisez les autorisations IAM pour Config Connector.
- Consultez le guide de dépannage des autorisations Config Connector.