Gérer plusieurs clusters et projets

Une installation de Config Connector dispose d'un compte de service système et d'un rôle sur votre projet. Si vous souhaitez gérer d'autres projets, vous devez accorder des autorisations pour :

  • Un autre projet
  • Un dossier
  • Une organisation

Cette rubrique explique comment accorder des autorisations Config Connector à chacun de ces niveaux.

Sélectionner un rôle IAM approprié

Config Connector ne peut gérer les ressources qu'avec les autorisations dont il dispose. Le rôle Google Cloud IAM le plus puissant, roles/owner, est utilisé dans les exemples de cette page. Pour limiter les autorisations Config Connector, utilisez un rôle moins permissif tel que roles/editor.

Gérer un autre projet à l'aide de Config Connector

Pour autoriser Config Connector à gérer les ressources d'un autre projet, exécutez la commande suivante:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Remplacez l'élément suivant :

  • PROJECT_ID par l'ID du projet à gérer ;
  • INSTALL_PROJECT_ID par l'ID du projet utilisé lors de l'installation ;
  • roles/owner par le rôle approprié.

Gérer tous les projets dans un dossier IAM

Pour développer les autorisations de Config Connector afin qu'elle puisse gérer tous les projets et dossiers d'un dossier donné, exécutez la commande suivante:

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Remplacez l'élément suivant :

  • FOLDER_ID par l'ID du dossier ;
  • INSTALL_PROJECT_ID par l'ID du projet utilisé lors de l'installation ;
  • roles/owner par le rôle approprié.

Gérer tous les projets d'une organisation IAM

Pour développer les autorisations de Config Connector afin de gérer tous les projets et dossiers d'une organisation donnée, exécutez la commande suivante:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Remplacez l'élément suivant :

  • ORGANIZATION_ID par l'ID de l'organisation ;
  • INSTALL_PROJECT_ID par l'ID du projet utilisé lors de l'installation ;
  • roles/owner par le rôle approprié.

Prévenir les conflits de ressources

Config Connector dispose d'une fonction intégrée de prévention des conflits de ressources lors de la gestion des ressources dans plusieurs projets, dossiers ou organisations Google Cloud. Pour en savoir plus, consultez la page Gérer les conflits avec plusieurs instances Config Connector.