このドキュメントでは、Google Cloud リソースを管理する権限を Config Controller に付与する方法について説明します。
最小権限
Google Cloud は、Identity and Access Management を安全に使用するために、最小権限のベスト プラクティスに従うことを推奨しています。本番環境では、どのようなユーザー・アカウントやプロセスであれ、意図した機能を実行するために必要不可欠な権限のみを付与するようにしてください。
Config Connector の IAM 権限
IAM は、Config Connector が Google Cloud リソースに対してアクションを実行することを認可します。
(推奨)事前定義ロールまたはカスタムロール
最小権限のベスト プラクティスに従うには、ニーズに合わせて最も制限された事前定義ロールまたはカスタムロールを付与してください。たとえば、Config Connector で GKE クラスタの作成を管理する必要がある場合は、Kubernetes Engine クラスタ管理者のロール(roles/container.clusterAdmin)を付与します。
ロールの推奨事項を使用して付与するロールを決定することもできます。また、Policy Simulator を使用して、ロールを変更してもプリンシパルのアクセス権に影響が出ないようにすることもできます。
基本ロール
最小権限のベスト プラクティスに従って、非本番環境でも本番環境と同じ権限を使用することをおすすめします。権限が同じであると、非本番環境で本番環境の構成をテストし、問題を早期に検出できるというメリットがあります。
ただし、状況によっては Config Connector のテストを迅速に行いたい場合があります。非本番環境では、最も制限された権限を決定する前に、いずれかの基本ロールを使ってテストすることもできます。
オーナーのロール(roles/owner)を付与すると、プロジェクト内のほとんどの Google Cloud リソース(IAM リソースも含まれる)を Config Connector で管理できます。
編集者のロール(roles/editor)を付与すると、Config Connector のほとんどの機能を利用できますが、IAM の変更など、プロジェクトや組織全体の構成に関する機能は利用できません。
Config Connector の IAM 権限の詳細については、以下をご覧ください。