Dokumen ini menjelaskan cara memberikan izin Config Controller untuk mengelola resource Google Cloud Anda.
Hak istimewa terendah
Untuk menggunakan Identity and Access Management secara aman, Google Cloud sebaiknya ikuti praktik terbaik hak istimewa terendah. Di lingkungan produksi, berikan hanya hak istimewa yang sangat penting untuk menjalankan fungsi yang dimaksudkan kepada akun atau proses pengguna mana pun.
Izin IAM untuk Config Connector
IAM memberikan otorisasi kepada Config Connector untuk melakukan tindakan pada Google Cloud resource.
(Direkomendasikan) Peran bawaan atau kustom
Untuk mengikuti praktik terbaik hak istimewa terendah, berikan
peran bawaan
atau
peran khusus
paling terbatas yang memenuhi kebutuhan Anda. Misalnya, jika Anda memerlukan Config Connector untuk mengelola pembuatan cluster GKE, berikan
peran Admin Cluster Kubernetes Engine
(roles/container.clusterAdmin).
Anda dapat menggunakan rekomendasi peran untuk menentukan peran yang akan diberikan. Anda juga dapat menggunakan Policy Simulator untuk memastikan bahwa mengubah peran tidak akan memengaruhi akses akun utama.
Peran dasar
Sebaiknya miliki izin yang sama di lingkungan non-produksi dengan yang Anda miliki di lingkungan produksi, dengan mengikuti praktik terbaik hak istimewa terendah. Memiliki izin yang sama memberikan manfaat untuk menguji konfigurasi produksi di non-produksi, dan mendeteksi masalah lebih awal.
Namun, untuk situasi tertentu, Anda mungkin ingin mempercepat eksperimen dengan Config Connector. Untuk lingkungan non-produksi, Anda dapat menggunakan salah satu peran dasar sebagai eksperimen, sebelum memutuskan izin yang paling terbatas.
Peran Pemilik
(roles/owner) memungkinkan Config Connector mengelola sebagian besar resource Google Cloud di
project Anda, termasuk resource IAM.
Peran Editor
(roles/editor) memungkinkan sebagian besar kemampuan Config Connector, kecuali konfigurasi di seluruh Project atau Organisasi seperti modifikasi IAM.
Untuk mempelajari izin IAM untuk Config Connector lebih lanjut: