本文說明如何授予 Config Controller 權限,以便管理資源。 Google Cloud
最低權限
為確保 Identity and Access Management 的使用安全, Google Cloud 建議遵循最低權限最佳做法。在實際執行環境中,只授予使用者帳戶或程序執行預期功能時不可或缺的權限。
Config Connector 的身分與存取權管理權限
IAM 會授權 Config Connector 對 Google Cloud 資源執行動作。
(建議) 預先定義或自訂角色
如要遵循最低權限最佳做法,請授予最受限制的預先定義角色或自訂角色,以滿足您的需求。舉例來說,如要讓 Config Connector 管理 GKE 叢集建立作業,請授予 Kubernetes Engine 叢集管理員角色 (roles/container.clusterAdmin)。
您可以根據角色建議,決定要改為授予哪些角色。您也可以使用政策模擬器,確保變更角色不會影響主體的存取權。
基本角色
建議您在非實際工作環境中,採用與實際工作環境相同的權限,並遵循最低權限最佳做法。擁有相同權限的好處是,您可以在非正式環境中測試正式環境設定,並及早偵測問題。
不過,在某些情況下,您可能會想加快使用 Config Connector 進行實驗的速度。對於非實際工作環境,您可以先使用其中一個基本角色進行實驗,再決定要採用最受限的權限。
擁有者角色 (roles/owner) 可讓 Config Connector 管理專案中的大部分 Google Cloud 資源,包括 IAM 資源。
編輯者角色 (roles/editor) 允許大多數 Config Connector 功能,但專案或機構層級的設定除外,例如身分與存取權管理修改。
如要進一步瞭解 Config Connector 的 IAM 權限,請參閱: