概要
Config Connector は次のいずれかの方法でインストールできます。
- Google Cloud Identity のサービス アカウント
- Google Kubernetes Engine(GKE)のワークロード ID
- Namespace が指定されたモード。それぞれ独自の Google Cloud ID を持つ複数のプロジェクトの管理をサポートします。
インストール モードとサービス アカウント
選択したインストール モードによって、リソースを作成できるサービス アカウントの数が決まります。
Google Cloud Identity と Workload Identity の両方のインストール オプションは、Config Connector を使用して複数のプロジェクトを管理している場合でも、単一のサービス アカウントを使用してリソースを作成および管理します。
Namespace が指定されたモードのインストールでは、複数のプロジェクトに複数のサービス アカウントを使用できます。
各モードについては、次のセクションで説明します。
Google Cloud Identity
Config Connector をインストールする最も簡単な方法は、単一の Google Cloud サービス アカウントを使用することです。
デフォルトでは、プロジェクトの Compute Engine サービス アカウントに編集者のロールが付与されます。これにより、Config Connector で Identity and Access Management などの特定の組織レベルの機能を除くほとんどのリソースを作成できるようになります。
Workload Identity
Config Connector クラスターに付与される権限をさらに制御する場合は、Workload Identity を選択します。
GKE ワークロード ID を使用すると、Kubernetes サービス アカウントを Google サービス アカウント(GSA)にバインドできます。次に、Config Connector はクラスター内の Kubernetes サービス アカウント(KSA)を使用して新しいリソースを作成します。Config Connector は、GSA が付与したロールを持つリソースのみを作成できます。
たとえば、Config Connector クラスタを使用して Cloud Storage リソースのみを管理する場合、roles/storage.admin ロールを付与することで、サービス アカウントを制限して Storage リソースのみを作成できます。
Namespace が指定されたモード
Namespace が指定されたモードは、Workload Identity インストールの拡張機能です。Config Connector クラスターにバインドされた複数の Google サービス アカウントで複数のプロジェクトを管理できます。
Namespace が指定されたモードでは、各 Google サービス アカウントはデフォルトで Namespace にバインドされます。その Namespace 内にリソースを作成すると、Config Connector はこのサービス アカウントを使用して Google Cloud リソースを作成します。
次の場合は、Namespace が指定されたモードを選択してください。
- 複数の Google Cloud プロジェクトのリソースを管理する。
- 別の Google サービス アカウントを選択して、各プロジェクトのリソースを管理する。
次のステップ
- Identity and Access Management サービス アカウントについて確認する。
- GKE クラスタに Workload Identity をインストールします。
- Config Connector をインストールします。