Este documento descreve como conceder autorizações do Config Controller para gerir os seus recursos Google Cloud .
Menor privilégio
Para usar a gestão de identidades e acessos em segurança, Google Cloud recomenda-se seguir a prática recomendada deprivilégio mínimo. Em ambientes de produção, conceda a contas de utilizador ou processos apenas os privilégios que são essencialmente vitais para realizar as funções pretendidas.
Autorizações da IAM para o Config Connector
O IAM autoriza o Config Connector a realizar ações em Google Cloud recursos.
(Recomendado) Funções predefinidas ou personalizadas
Para seguir a prática recomendada de privilégios mínimos, conceda as
funções predefinidas
ou
funções personalizadas
mais limitadas que satisfaçam as suas necessidades. Por exemplo, se precisar do Config Connector para gerir a criação do seu cluster do GKE, conceda a função de administrador do cluster do Kubernetes Engine (roles/container.clusterAdmin).
Pode usar as recomendações de funções para determinar que funções atribuir. Também pode usar o Simulador de políticas para garantir que a alteração da função não afeta o acesso do principal.
Funções básicas
Recomendamos que tenha as mesmas autorizações num ambiente que não seja de produção que tem num ambiente de produção, seguindo a prática recomendada de privilégio mínimo. Ter as mesmas autorizações tem a vantagem de testar as configurações de produção em ambientes que não são de produção e detetar problemas mais cedo.
No entanto, em determinadas situações, pode querer acelerar a experimentação com o Config Connector. Para ambientes de não produção, pode usar uma das funções básicas como experiência antes de decidir sobre as autorizações mais limitadas.
A
função de proprietário
(roles/owner) permite que o Config Connector faça a gestão da maioria dos recursos Google Cloud no seu projeto, incluindo recursos de IAM.
A função Editor (roles/editor) permite a maioria das capacidades do Config Connector, exceto as configurações ao nível do projeto ou da organização, como as modificações do IAM.
Para saber mais sobre as autorizações de IAM para o Config Connector:
- Leia as autorizações de IAM para o Config Connector.
- Leia o guia de resolução de problemas de autorizações do Config Connector.