Dokumen ini menjelaskan cara memberikan izin Config Controller untuk mengelola resource Google Cloud Anda.
Hak istimewa terendah
Untuk menggunakan Pengelolaan Identitas dan Akses secara aman, Google Cloud sebaiknya ikuti praktik terbaik hak istimewa terendah. Di lingkungan produksi, berikan hanya hak istimewa yang sangat penting untuk menjalankan fungsi yang dimaksudkan kepada akun atau proses pengguna mana pun.
Izin IAM untuk Config Connector
IAM memberikan otorisasi kepada Config Connector untuk melakukan tindakan pada resource Google Cloud .
(Direkomendasikan) Peran bawaan atau kustom
Untuk mengikuti praktik terbaik hak istimewa terendah, berikan
peran bawaan
atau
peran khusus
paling terbatas yang memenuhi kebutuhan Anda. Misalnya, jika Anda memerlukan Config Connector untuk mengelola pembuatan cluster GKE, berikan
peran Admin Cluster Kubernetes Engine
(roles/container.clusterAdmin).
Anda dapat menggunakan rekomendasi peran untuk menentukan peran yang akan diberikan. Anda juga dapat menggunakan Policy Simulator untuk memastikan bahwa perubahan peran tidak akan memengaruhi akses akun utama.
Peran dasar
Sebaiknya miliki izin yang sama di lingkungan non-produksi dengan yang Anda miliki di lingkungan produksi, dengan mengikuti praktik terbaik hak istimewa terendah. Memiliki izin yang sama akan memberikan manfaat berupa pengujian konfigurasi produksi di non-produksi, dan mendeteksi masalah lebih awal.
Namun, untuk situasi tertentu, Anda mungkin ingin mempercepat eksperimen dengan Config Connector. Untuk lingkungan non-produksi, Anda dapat menggunakan salah satu peran dasar sebagai eksperimen, sebelum memutuskan izin yang paling terbatas.
Peran Pemilik
(roles/owner) memungkinkan Config Connector mengelola sebagian besar resource Google Cloud di project Anda, termasuk resource IAM.
Peran Editor
(roles/editor) memungkinkan sebagian besar kemampuan Config Connector, kecuali konfigurasi di seluruh Project atau Organisasi seperti modifikasi IAM.
Untuk mempelajari lebih lanjut izin IAM untuk Config Connector: