여러 클러스터 및 프로젝트 관리

Config Connector 설치에는 프로젝트에 대한 시스템 서비스 계정 및 역할이 포함됩니다. 다른 프로젝트를 관리하려면 다음에 대한 권한을 부여해야 합니다.

  • 다른 프로젝트
  • 폴더
  • 조직

이 주제에서는 이러한 각 수준에서 Config Connector 권한을 부여하는 방법을 설명합니다.

적절한 IAM 역할 선택

Config Connector는 권한을 사용해야만 리소스를 관리할 수 있습니다. 가장 강력한 Google Cloud IAM 역할인 roles/owner가 이 주제의 예시에 사용됩니다. Config Connector의 권한을 제한하려면 roles/editor와 같이 덜 포괄적인 역할을 사용하세요.

Config Connector를 사용하여 다른 프로젝트 관리

Config Connector가 다른 프로젝트의 리소스를 관리할 수 있게 하려면 다음 명령어를 실행하여 바꾸세요.

  • [PROJECT_ID]를 새 프로젝트 ID로 바꿉니다.
  • [INSTALL_PROJECT_ID]를 설치 중에 사용된 프로젝트 ID로 바꿉니다.
  • roles/owner를 적절한 역할로 바꿉니다.
gcloud projects add-iam-policy-binding [PROJECT_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

IAM 폴더의 모든 프로젝트 관리

해당 폴더에서 모든 프로젝트 및 폴더를 관리할 수 있도록 Config Connector의 권한을 확장하려면 다음 명령어를 실행하여 바꾸세요.

  • [FOLDER_ID]를 폴더 ID로 바꿉니다.
  • [INSTALL_PROJECT_ID]를 설치 중 사용된 프로젝트로 바꿉니다.
  • roles/owner를 적절한 역할로 바꿉니다.
gcloud resource-manager folders add-iam-policy-binding [FOLDER_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

IAM 조직의 모든 프로젝트 관리

해당 조직의 모든 프로젝트 및 폴더를 관리할 수 있도록 구성 커넥터의 권한을 확장하려면 다음 명령어를 실행하여 바꾸세요.

  • [ORGANIZATION_ID]를 조직 ID로 바꿉니다.
  • [INSTALL_PROJECT_ID]를 설치 중에 사용된 프로젝트 ID로 바꿉니다.
  • roles/owner를 적절한 역할로 바꿉니다.
gcloud organizations add-iam-policy-binding [ORGANIZATION_ID] \
  --member serviceAccount:cnrm-system@[INSTALL_PROJECT_ID].iam.gserviceaccount.com \
  --role roles/owner

리소스 경합 방지

Config Connector에는 여러 Google Cloud 프로젝트, 폴더 또는 조직에서 리소스를 관리할 때 리소스 경합 방지 기능이 내장되어 있습니다. 자세한 정보는 여러 Config Connector 인스턴스와의 충돌 관리를 참조하세요.