本文說明如何授予 Config Controller 權限,以便管理資源。 Cloud de Confiance by S3NS
最低權限
為確保 Identity and Access Management 的使用安全, Cloud de Confiance by S3NS 建議遵循最低權限最佳做法。在實際執行環境中,只授予使用者帳戶或程序執行預期功能時不可或缺的權限。
Config Connector 的身分與存取權管理權限
IAM 會授權 Config Connector 對 Cloud de Confiance by S3NS 資源執行動作。
(建議) 預先定義或自訂角色
如要遵循最低權限最佳做法,請授予最受限的預先定義角色或自訂角色,以滿足您的需求。舉例來說,如果您需要 Config Connector 管理 GKE 叢集建立作業,請授予 Kubernetes Engine 叢集管理員角色 (roles/container.clusterAdmin)。
您可以根據角色建議,決定要改為授予哪些角色。您也可以使用政策模擬器,確保變更角色不會影響主體的存取權。
基本角色
建議您在非實際工作環境中,擁有與實際工作環境相同的權限,並遵循最低權限最佳做法。擁有相同權限的好處是,您可以在非正式環境中測試正式環境設定,並提早偵測問題。
不過,在某些情況下,您可能會想加快使用 Config Connector 進行實驗的速度。在非實際工作環境中,您可以先使用其中一個基本角色進行實驗,再決定要採用最受限的權限。
擁有者角色 (roles/owner) 可讓 Config Connector 管理專案中的大部分 Cloud de Confiance by S3NS 資源,包括 IAM 資源。
編輯者角色 (roles/editor) 允許大多數 Config Connector 功能,但專案或機構層級的設定除外,例如身分與存取權管理修改。
如要進一步瞭解 Config Connector 的 IAM 權限,請參閱: