Gérer plusieurs clusters et projets

Une installation de Config Connector dispose d'un compte de service système et d'un rôle sur votre projet. Si vous souhaitez gérer d'autres projets, vous devez accorder des autorisations pour :

  • Un autre projet
  • Un dossier
  • Une organisation

Cette rubrique explique comment accorder des autorisations Config Connector à chacun de ces niveaux.

Sélectionner un rôle IAM approprié

Config Connector ne peut gérer les ressources qu'avec les autorisations dont il dispose. Le rôle Google Cloud IAM le plus puissant, roles/owner, est utilisé dans les exemples de cette page. Pour limiter les autorisations Config Connector, utilisez un rôle moins permissif tel que roles/editor.

Gérer un autre projet à l'aide de Config Connector

Pour permettre à Config Connector de gérer les ressources d'un autre projet, exécutez la commande suivante en remplaçant :

  • [PROJECT_ID] par l'ID du projet à gérer ;
  • [INSTALL_PROJECT_ID] par l'ID du projet utilisé lors de l'installation ;
  • roles/owner par le rôle approprié.
gcloud projects add-iam-policy-binding [PROJECT_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

Gérer tous les projets dans un dossier IAM

Pour étendre les autorisations Config Connector afin qu'il puisse gérer tous les projets et dossiers dans un dossier donné, exécutez la commande suivante en remplaçant :

  • [FOLDER_ID] par l'ID du dossier ;
  • [INSTALL_PROJECT_ID] par l'ID du projet utilisé lors de l'installation ;
  • roles/owner par le rôle approprié.
gcloud resource-manager folders add-iam-policy-binding [FOLDER_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

Gérer tous les projets d'une organisation IAM

Pour étendre les autorisations Config Connector afin qu'il puisse gérer tous les projets et dossiers pour une organisation donnée, exécutez la commande suivante en remplaçant :

  • [ORGANIZATION_ID] par l'ID de l'organisation ;
  • [INSTALL_PROJECT_ID] par l'ID du projet utilisé lors de l'installation ;
  • roles/owner par le rôle approprié.
gcloud organizations add-iam-policy-binding [ORGANIZATION_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

Prévenir les conflits de ressources

Config Connector dispose d'une fonction intégrée de prévention des conflits de ressources lors de la gestion des ressources dans plusieurs projets, dossiers ou organisations Google Cloud. Pour en savoir plus, consultez la page Gérer les conflits avec plusieurs instances Config Connector.