Gestione di più cluster e progetti

Un'installazione di Config Connector ha un account di servizio di sistema e un ruolo nel progetto. Se vuoi gestire altri progetti, devi concedere le autorizzazioni per:

  • Un altro progetto
  • Una cartella
  • Per un'organizzazione

Questo argomento spiega come concedere le autorizzazioni di Config Connector a ciascuno di questi livelli.

Selezione di un ruolo IAM appropriato

Config Connector può gestire le risorse solo con le autorizzazioni di cui dispone. Negli esempi in questo argomento viene utilizzato il ruolo più potente di Google Cloud IAM, roles/owner. Per limitare le autorizzazioni di Config Connector, utilizza un ruolo meno permissivo, ad esempio roles/editor.

Gestione di un altro progetto con Config Connector

Per consentire a Config Connector di gestire le risorse di un altro progetto, esegui il comando seguente:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Sostituisci quanto segue:

  • PROJECT_ID con il nuovo ID progetto
  • INSTALL_PROJECT_ID con l'ID progetto utilizzato durante l'installazione
  • roles/owner con il ruolo appropriato

Gestione di tutti i progetti in una cartella IAM

Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e le cartelle in una determinata cartella, esegui il comando seguente:

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Sostituisci quanto segue:

  • FOLDER_ID con l'ID cartella
  • INSTALL_PROJECT_ID con il progetto utilizzato durante l'installazione
  • roles/owner con il ruolo appropriato

Gestione di tutti i progetti in un'organizzazione IAM

Per espandere le autorizzazioni di Config Connector in modo che possa gestire tutti i progetti e le cartelle di una determinata organizzazione, esegui il comando seguente:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

Sostituisci quanto segue:

  • ORGANIZATION_ID con il tuo ID organizzazione
  • INSTALL_PROJECT_ID con l'ID progetto utilizzato durante l'installazione
  • roles/owner con il ruolo appropriato

Prevenzione della contrattazione di risorse

Config Connector offre una prevenzione integrata della conflitto di risorse nella gestione delle risorse in più progetti, cartelle o organizzazioni di Google Cloud. Per ulteriori informazioni, consulta Gestione dei conflitti con più istanze di Config Connector.