Un'installazione di Config Connector ha un account di servizio di sistema e un ruolo nel progetto. Se vuoi gestire altri progetti, devi concedere le autorizzazioni per:
- Un altro progetto
- Una cartella
- Per un'organizzazione
Questo argomento spiega come concedere le autorizzazioni di Config Connector a ciascuno di questi livelli.
Selezione di un ruolo IAM appropriato
Config Connector può gestire le risorse solo con le autorizzazioni di cui dispone.
Negli esempi in questo argomento viene utilizzato il ruolo più potente di Google Cloud IAM, roles/owner
. Per limitare le autorizzazioni di Config Connector, utilizza un ruolo meno permissivo, ad esempio roles/editor
.
Gestione di un altro progetto con Config Connector
Per consentire a Config Connector di gestire le risorse di un altro progetto, esegui il comando seguente:
gcloud projects add-iam-policy-binding
PROJECT_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner
Sostituisci quanto segue:
PROJECT_ID
con il nuovo ID progettoINSTALL_PROJECT_ID
con l'ID progetto utilizzato durante l'installazioneroles/owner
con il ruolo appropriato
Gestione di tutti i progetti in una cartella IAM
Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e le cartelle in una determinata cartella, esegui il comando seguente:
gcloud resource-manager folders add-iam-policy-binding
FOLDER_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner
Sostituisci quanto segue:
FOLDER_ID
con l'ID cartellaINSTALL_PROJECT_ID
con il progetto utilizzato durante l'installazioneroles/owner
con il ruolo appropriato
Gestione di tutti i progetti in un'organizzazione IAM
Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e le cartelle di una determinata organizzazione, esegui il comando seguente:
gcloud organizations add-iam-policy-binding
ORGANIZATION_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner
Sostituisci quanto segue:
ORGANIZATION_ID
con il tuo ID organizzazioneINSTALL_PROJECT_ID
con l'ID progetto utilizzato durante l'installazioneroles/owner
con il ruolo appropriato
Prevenzione della contrattazione di risorse
Config Connector offre una prevenzione integrata della conflitto di risorse nella gestione delle risorse in più progetti, cartelle o organizzazioni di Google Cloud. Per ulteriori informazioni, consulta Gestione dei conflitti con più istanze di Config Connector.