Mehrere Cluster und Projekte verwalten

Zu einer Config Connector-Installation gehören ein Systemdienstkonto und eine Rolle für Ihr Projekt. Wenn Sie andere Projekte verwalten möchten, müssen Sie für Folgendes Berechtigungen erteilen:

  • Ein anderes Projekt
  • Einen Ordner
  • Eine Organisation

In diesem Thema wird erläutert, wie Sie Config Connector-Berechtigungen auf jeder dieser Ebenen erteilen.

Geeignete IAM-Rolle auswählen

Zum Verwalten von Ressourcen benötigt Config Connector die entsprechenden Berechtigungen. Für die Beispiele in diesem Thema wird die umfassendste IAM-Rolle von Google Cloud, roles/owner, verwendet. Wenn Sie die Berechtigungen von Config Connector einschränken möchten, verwenden Sie eine striktere Rolle wie z. B. roles/editor.

Ein anderes Projekt mit Config Connector verwalten

Um es dem Config Connector zu ermöglichen, die Ressourcen eines anderen Projekts zu verwalten, führen Sie den folgenden Befehl aus:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Dabei gilt:

  • PROJECT_ID durch Ihre neue Projekt-ID
  • INSTALL_PROJECT_ID durch die während der Installation verwendete Projekt-ID
  • roles/owner durch die entsprechende Rolle

Alle Projekte in einem IAM-Ordner verwalten

Führen Sie den folgenden Befehl aus, um die Berechtigungen des Config Connectors zu erweitern, sodass er alle Projekte und Ordner in einem bestimmten Ordner verwalten kann:

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Dabei gilt:

  • FOLDER_ID durch Ihre Ordner-ID
  • INSTALL_PROJECT_ID durch das bei der Installation verwendete Projekt
  • roles/owner durch die entsprechende Rolle

Alle Projekte in einer IAM-Organisation verwalten

Führen Sie den folgenden Befehl aus, um die Berechtigungen des Config Connectors zu erweitern, sodass er alle Projekte und Ordner für eine bestimmte Organisation verwalten kann:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Dabei gilt:

  • ORGANIZATION_ID durch Ihre Organisations-ID
  • INSTALL_PROJECT_ID durch die während der Installation verwendete Projekt-ID
  • roles/owner durch die entsprechende Rolle

Ressourcenbeschränkungen verhindern

Config Connector bietet eine integrierte Verhinderung von Ressourcenbeschränkungen beim Verwalten von Ressourcen in mehreren Google Cloud-Projekten, -Ordnern oder -Organisationen. Weitere Informationen finden Sie unter Konflikte mit mehreren Config Connector-Instanzen verwalten.