複数のクラスタとプロジェクトを管理する

Config Connector のインストールには、システム サービス アカウントとプロジェクトのロールがあります。他のプロジェクトを管理する場合は、次の権限を付与する必要があります。

  • 別のプロジェクト
  • フォルダ
  • 組織

このトピックでは、これらの各レベルで Config Connector の権限を付与する方法について説明します。

適切な IAM ロールの選択

Config Connector は、保有している権限を使用してのリソース管理のみができます。このトピックの例では、最も権限のある Google Cloud IAM ロールの roles/owner を使用しています。Config Connector の権限を制限するには、roles/editor などの権限の少ないロールを使用します。

Config Connector を使用した別のプロジェクトの管理

Config Connector に別のプロジェクトのリソース管理を許可するには、次のコマンドを実行します。

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

以下を置き換えます。

  • PROJECT_ID を新しいプロジェクト ID に置き換える
  • INSTALL_PROJECT_ID をインストール中に使用したプロジェクト ID に置き換える
  • roles/owner を適切なロールに置き換える

IAM フォルダ内のすべてのプロジェクトの管理

特定のフォルダ内のすべてのプロジェクトとフォルダを管理できるように Config Connector の権限を拡張するには、次のコマンドを実行します。

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

以下を置き換えます。

  • FOLDER_ID を実際のフォルダ ID に置き換える
  • INSTALL_PROJECT_ID をインストール中に使用したプロジェクトに置き換える
  • roles/owner を適切なロールに置き換える

IAM 組織内のすべてのプロジェクトの管理

特定の組織のすべてのプロジェクトとフォルダを管理できるように Config Connector の権限を拡張するには、次のコマンドを実行します。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

以下を置き換えます。

  • ORGANIZATION_ID を組織 ID に置き換える
  • INSTALL_PROJECT_ID をインストール中に使用したプロジェクト ID に置き換える
  • roles/owner を適切なロールに置き換える

リソース競合の防止

Config Connector には、複数の Google Cloud プロジェクト、フォルダ、組織間でリソースを管理する場合に備えて、リソース競合の防止が組み込まれています。詳しくは、複数の Config Connector インスタンスとの競合の管理をご覧ください。