Neste documento, descrevemos como conceder permissões do Config Controller para gerenciar os recursos do Google Cloud.
Privilégio mínimo
Para usar o Identity and Access Management com segurança, o Google Cloud recomenda seguir a prática recomendada de privilégio mínimo. Em ambientes de produção, conceda a processos ou contas de usuário apenas os privilégios essenciais para a realização das tarefas pretendidas.
Permissões do IAM para o Config Connector
O IAM autoriza o Config Connector a realizar ações nos recursos do Google Cloud.
(Recomendado) Papéis predefinidos ou funções personalizadas
Para seguir a prática recomendada de privilégio mínimo, conceda os
papéis predefinidos
ou as
funções personalizadas
mais limitados que atendam às suas necessidades. Por exemplo, se você precisar do Config Connector para gerenciar a
criação do cluster do GKE, conceda o
papel de administrador de cluster do Kubernetes Engine
(roles/container.clusterAdmin).
Use recomendações de papéis para determinar quais papéis serão concedidos. Também é possível usar o Simulador de política para verificar se a alteração do papel não afete o acesso do principal.
Papéis básicos
É recomendável ter as mesmas permissões em um ambiente de não produção e em um ambiente de produção, seguindo a prática recomendada de privilégio mínimo. Com as mesmas permissões, é possível testar as configurações de produção no ambiente de não produção e detectar problemas mais cedo.
Dito isso, em algumas situações, você quer acelerar os experimentos com o Config Connector. Para ambientes que não são de produção, é possível usar um dos papéis básicos como um experimento, antes de decidir sobre as permissões mais limitadas.
O
papel de proprietário
(roles/owner) permite que o Config Connector gerencie a maioria dos recursos do Google Cloud no
projeto, incluindo os recursos do IAM.
O
papel de editor
(roles/editor) dâ permissão para a maioria dos recursos do Config Connector, exceto as
configurações do projeto ou da organização, como as modificações do IAM.
Para saber mais sobre as permissões do IAM para o Config Connector:
- Leia Permissões do IAM para o Config Connector.
- Leia o guia de solução de problemas de permissão do Config Connector.