インストール タイプの選択

概要

Config Connector は次のいずれかの方法でインストールできます。

インストール モードとサービス アカウント

選択したインストール モードによって、リソースを作成できるサービス アカウントの数が決まります。

Google Cloud Identity と Workload Identity の両方のインストール オプションは、Config Connector を使用して複数のプロジェクトを管理している場合でも、単一のサービス アカウントを使用してリソースを作成および管理します。

同じサービス アカウントを使用して複数のプロジェクトを管理する Config Connector を示す図

Namespace が指定されたモードのインストールでは、複数のプロジェクトに複数のサービス アカウントを使用できます。

2 つの異なるサービス アカウントを使用して複数のプロジェクトを管理する Config Connector を示す図

各モードについては、次のセクションで説明します。

Google Cloud Identity

Config Connector をインストールする最も簡単な方法は、単一の Google Cloud サービス アカウントを使用することです。

デフォルトでは、プロジェクトの Compute Engine サービス アカウントに編集者のロールが付与されます。これにより、Config Connector で Identity and Access Management などの特定の組織レベルの機能を除くほとんどのリソースを作成できるようになります。

Workload Identity

Config Connector クラスターに付与される権限をさらに制御する場合は、Workload Identity を選択します。

GKE ワークロード ID を使用すると、Kubernetes サービス アカウントを Google サービス アカウント(GSA)にバインドできます。次に、Config Connector はクラスター内の Kubernetes サービス アカウント(KSA)を使用して新しいリソースを作成します。Config Connector は、GSA が付与したロールを持つリソースのみを作成できます。

たとえば、Config Connector クラスタを使用して Cloud Storage リソースのみを管理する場合、roles/storage.admin ロールを付与することで、サービス アカウントを制限して Storage リソースのみを作成できます。

Namespace が指定されたモード

Namespace が指定されたモードは、Workload Identity インストールの拡張機能です。Config Connector クラスターにバインドされた複数の Google サービス アカウントで複数のプロジェクトを管理できます。

Namespace が指定されたモードでは、各 Google サービス アカウントはデフォルトで Namespace にバインドされます。その Namespace 内にリソースを作成すると、Config Connector はこのサービス アカウントを使用して Google Cloud リソースを作成します。

次の場合は、Namespace が指定されたモードを選択してください。

  • 複数の Google Cloud プロジェクトのリソースを管理する。
  • 別の Google サービス アカウントを選択して、各プロジェクトのリソースを管理する。

次のステップ