Zu einer Config Connector-Installation gehören ein Systemdienstkonto und eine Rolle für Ihr Projekt. Wenn Sie andere Projekte verwalten möchten, müssen Sie für Folgendes Berechtigungen erteilen:
- Ein anderes Projekt
- Einen Ordner
- Eine Organisation
In diesem Thema wird erläutert, wie Sie Config Connector-Berechtigungen auf jeder dieser Ebenen erteilen.
Geeignete IAM-Rolle auswählen
Zum Verwalten von Ressourcen benötigt Config Connector die entsprechenden Berechtigungen.
Für die Beispiele in diesem Thema wird die umfassendste IAM-Rolle von Google Cloud, roles/owner
, verwendet. Wenn Sie die Berechtigungen von Config Connector einschränken möchten, verwenden Sie eine striktere Rolle wie z. B. roles/editor
.
Ein anderes Projekt mit Config Connector verwalten
Um es dem Config Connector zu ermöglichen, die Ressourcen eines anderen Projekts zu verwalten, führen Sie den folgenden Befehl aus:
gcloud projects add-iam-policy-binding
PROJECT_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner
Dabei gilt:
PROJECT_ID
durch Ihre neue Projekt-IDINSTALL_PROJECT_ID
durch die während der Installation verwendete Projekt-IDroles/owner
durch die entsprechende Rolle
Alle Projekte in einem IAM-Ordner verwalten
Führen Sie den folgenden Befehl aus, um die Berechtigungen des Config Connectors zu erweitern, sodass er alle Projekte und Ordner in einem bestimmten Ordner verwalten kann:
gcloud resource-manager folders add-iam-policy-binding
FOLDER_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner
Dabei gilt:
FOLDER_ID
durch Ihre Ordner-IDINSTALL_PROJECT_ID
durch das bei der Installation verwendete Projektroles/owner
durch die entsprechende Rolle
Alle Projekte in einer IAM-Organisation verwalten
Führen Sie den folgenden Befehl aus, um die Berechtigungen des Config Connectors zu erweitern, sodass er alle Projekte und Ordner für eine bestimmte Organisation verwalten kann:
gcloud organizations add-iam-policy-binding
ORGANIZATION_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner
Dabei gilt:
ORGANIZATION_ID
durch Ihre Organisations-IDINSTALL_PROJECT_ID
durch die während der Installation verwendete Projekt-IDroles/owner
durch die entsprechende Rolle
Ressourcenbeschränkungen verhindern
Config Connector bietet eine integrierte Verhinderung von Ressourcenbeschränkungen beim Verwalten von Ressourcen in mehreren Google Cloud-Projekten, -Ordnern oder -Organisationen. Weitere Informationen finden Sie unter Konflikte mit mehreren Config Connector-Instanzen verwalten.