複数のクラスタとプロジェクトを管理する

Config Connector のインストールには、プロジェクト用のシステム サービス アカウントとロールがあります。他のプロジェクトを管理するには、次の権限を付与する必要があります。

  • 別のプロジェクト
  • フォルダ
  • 組織

このトピックでは、これらの各レベルで Config Connector の権限を付与する方法について説明します。

適切な IAM ロールの選択

Config Connector は、保有している権限を使用してのリソース管理のみができます。このトピックの例では、最も権限のある Google Cloud IAM ロールの roles/owner を使用しています。Config Connector の権限を制限するには、roles/editor などの権限の少ないロールを使用します。

Config Connector を使用した別のプロジェクトの管理

Config Connector が別のプロジェクトのリソースを管理できるようにするには、下記のコマンドを実行して、置き換えを行います。

  • [PROJECT_ID] を新しいプロジェクト ID に置き換える
  • [INSTALL_PROJECT_ID] をインストール中に使用したプロジェクト ID に置き換える
  • roles/owner を適切なロールに置き換える
gcloud projects add-iam-policy-binding [PROJECT_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

IAM フォルダ内のすべてのプロジェクトの管理

Config Connector の権限を拡張して、特定のフォルダー内のすべてのプロジェクトとフォルダーを管理できるようにするには、下記のコマンドを実行して、置き換えを行います。

  • [FOLDER_ID] を実際のフォルダ ID に置き換える
  • [INSTALL_PROJECT_ID] をインストール中に使用したプロジェクトに置き換える
  • roles/owner を適切なロールに置き換える
gcloud resource-manager folders add-iam-policy-binding [FOLDER_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

IAM 組織内のすべてのプロジェクトの管理

Config Connector の権限を拡張して、特定の組織のすべてのプロジェクトとフォルダーを管理できるようにするには、下記のコマンドを実行して、置き換えを行います。

  • [ORGANIZATION_ID] を組織 ID に置き換える
  • [INSTALL_PROJECT_ID] をインストール中に使用したプロジェクト ID に置き換える
  • roles/owner を適切なロールに置き換える
gcloud organizations add-iam-policy-binding [ORGANIZATION_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

リソース競合の防止

Config Connector には、複数の Google Cloud プロジェクト、フォルダ、組織でリソースを管理する際の、リソース競合の防止機能が組み込まれています。詳細については、複数の Config Connector インスタンスとの競合の管理をご覧ください。