במאמר הזה מוסבר איך מעניקים הרשאות ל-Config Controller לניהול המשאבים ב- Google Cloud .
הרשאות מינימליות
כדי להשתמש בניהול זהויות והרשאות גישה בצורה מאובטחת, Google Cloud מומלץ לפעול לפי השיטה המומלצת של הרשאות מינימליות. בסביבות ייצור, צריך לתת לחשבונות משתמשים או לתהליכים רק את ההרשאות שחיוניות לביצוע הפונקציות המיועדות שלהם.
הרשאות IAM ל-Config Connector
IAM מאשר ל-Config Connector לבצע פעולות על משאבים Google Cloud .
(מומלץ) תפקידים מוגדרים מראש או תפקידים בהתאמה אישית
כדי לשמור על עקרון האבטחה של הרשאות מינימליות, צריך להקצות את התפקידים המוגדרים מראש המוגבלים ביותר או תפקידים בהתאמה אישית שעונים לצרכים שלכם. לדוגמה, אם אתם צריכים את Config Connector כדי לנהל את היצירה של אשכול GKE, צריך להעניק את התפקיד 'אדמין של אשכול Kubernetes Engine' (roles/container.clusterAdmin).
אתם יכולים להשתמש בהמלצות לתפקידים כדי לקבוע אילו תפקידים להעניק במקום. תוכלו גם להיעזר בסימולטור המדיניות כדי לוודא ששינוי התפקיד לא ישפיע על הגישה של חשבון המשתמש.
תפקידים בסיסיים
מומלץ להגדיר בסביבה שאינה סביבת ייצור את אותן הרשאות שמוגדרות בסביבת הייצור, בהתאם לשיטה המומלצת של הרשאות מינימליות. היתרון בהרשאות זהות הוא האפשרות לבדוק את הגדרות הייצור בסביבה שאינה סביבת ייצור, ולזהות בעיות בשלב מוקדם יותר.
עם זאת, במצבים מסוימים כדאי לזרז את הניסויים ב-Config Connector. בסביבות שאינן סביבות ייצור, אפשר להשתמש באחד מהתפקידים הבסיסיים כניסוי, לפני שמחליטים על ההרשאות המוגבלות ביותר.
התפקיד Owner (roles/owner) מאפשר ל-Config Connector לנהל את רוב המשאבים ב- Google Cloud פרויקט, כולל משאבי IAM.
התפקיד Editor (roles/editor) מאפשר להשתמש ברוב היכולות של Config Connector, למעט הגדרות ברמת הפרויקט או הארגון, כמו שינויים ב-IAM.
מידע נוסף על הרשאות IAM ל-Config Connector
- מומלץ לקרוא על הרשאות IAM ל-Config Connector.
- כדאי לקרוא את המדריך לפתרון בעיות בהרשאות של Config Connector.