Mehrere Cluster und Projekte verwalten

Zu einer Config Connector-Installation gehören ein Systemdienstkonto und eine Rolle für Ihr Projekt. Wenn Sie andere Projekte verwalten möchten, müssen Sie für Folgendes Berechtigungen erteilen:

  • Ein anderes Projekt
  • Einen Ordner
  • Eine Organisation

In diesem Thema wird erläutert, wie Sie Config Connector-Berechtigungen auf jeder dieser Ebenen erteilen.

Geeignete IAM-Rolle auswählen

Zum Verwalten von Ressourcen benötigt Config Connector die entsprechenden Berechtigungen. Für die Beispiele in diesem Thema wird die umfassendste IAM-Rolle von Google Cloud, roles/owner, verwendet. Wenn Sie die Berechtigungen von Config Connector einschränken möchten, verwenden Sie eine striktere Rolle wie z. B. roles/editor.

Ein anderes Projekt mit Config Connector verwalten

Um es dem Config Connector zu ermöglichen, die Ressourcen eines anderen Projekts zu verwalten, führen Sie den folgenden Befehl aus und ersetzen Sie:

  • [PROJECT_ID] durch Ihre neue Projekt-ID
  • [INSTALL_PROJECT_ID] durch die während der Installation verwendete Projekt-ID
  • roles/owner durch die entsprechende Rolle
gcloud projects add-iam-policy-binding [PROJECT_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

Alle Projekte in einem IAM-Ordner verwalten

Führen Sie den folgenden Befehl aus, um die Berechtigungen des Config Connectors zu erweitern, sodass er alle Projekte und Ordner in einem bestimmten Ordner verwalten kann, und ersetzen Sie:

  • [FOLDER_ID] durch Ihre Ordner-ID
  • [INSTALL_PROJECT_ID] durch das bei der Installation verwendete Projekt
  • roles/owner durch die entsprechende Rolle
gcloud resource-manager folders add-iam-policy-binding [FOLDER_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

Alle Projekte in einer IAM-Organisation verwalten

Führen Sie den folgenden Befehl aus, um die Berechtigungen des Config Connectors zu erweitern, sodass er alle Projekte und Ordner für eine bestimmte Organisation verwalten kann, und ersetzen Sie:

  • [ORGANIZATION_ID] durch Ihre Organisations-ID
  • [INSTALL_PROJECT_ID] durch die während der Installation verwendete Projekt-ID
  • roles/owner durch die entsprechende Rolle
gcloud organizations add-iam-policy-binding [ORGANIZATION_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

Ressourcenbeschränkungen verhindern

Config Connector bietet eine integrierte Verhinderung von Ressourcenbeschränkungen beim Verwalten von Ressourcen in mehreren Google Cloud-Projekten, -Ordnern oder -Organisationen. Weitere Informationen finden Sie unter Konflikte mit mehreren Config Connector-Instanzen verwalten.