Config Connector 설치에는 프로젝트에 대한 시스템 서비스 계정 및 역할이 포함됩니다. 다른 프로젝트를 관리하려면 다음에 대한 권한을 부여해야 합니다.
- 다른 프로젝트
- 폴더
- 조직
이 주제에서는 이러한 각 수준에서 Config Connector 권한을 부여하는 방법을 설명합니다.
적절한 IAM 역할 선택
Config Connector는 권한을 사용해야만 리소스를 관리할 수 있습니다.
가장 강력한 Google Cloud IAM 역할인 roles/owner가 이 주제의 예시에 사용됩니다. Config Connector의 권한을 제한하려면 roles/editor와 같이 덜 포괄적인 역할을 사용하세요.
Config Connector를 사용하여 다른 프로젝트 관리
Config Connector가 다른 프로젝트의 리소스를 관리할 수 있게 하려면 다음 명령어를 실행하세요.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner다음을 바꿉니다.
PROJECT_ID를 새 프로젝트 ID로 바꿉니다.INSTALL_PROJECT_ID를 설치 중에 사용된 프로젝트 ID로 바꿉니다.roles/owner를 적절한 역할로 바꿉니다.
IAM 폴더의 모든 프로젝트 관리
특정 폴더에서 모든 프로젝트 및 폴더를 관리할 수 있도록 Config Connector의 권한을 확장하려면 다음 명령어를 실행합니다.
gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner다음을 바꿉니다.
FOLDER_ID를 폴더 ID로 바꿉니다.INSTALL_PROJECT_ID를 설치 중 사용된 프로젝트로 바꿉니다.roles/owner를 적절한 역할로 바꿉니다.
IAM 조직의 모든 프로젝트 관리
특정 조직의 모든 프로젝트와 폴더를 관리할 수 있도록 Config Connector의 권한을 확장하려면 다음 명령어를 실행합니다.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner
다음을 바꿉니다.
ORGANIZATION_ID를 조직 ID로 바꿉니다.INSTALL_PROJECT_ID를 설치 중에 사용된 프로젝트 ID로 바꿉니다.roles/owner를 적절한 역할로 바꿉니다.
리소스 경합 방지
Config Connector에는 여러 Google Cloud 프로젝트, 폴더 또는 조직에서 리소스를 관리할 때 리소스 경합 방지 기능이 내장되어 있습니다. 자세한 정보는 여러 Config Connector 인스턴스와의 충돌 관리를 참조하세요.