Config Connector 安装在您的项目中具有系统服务帐号和角色。如果要管理其他项目,您需要授予对以下内容的权限:
- 其他项目
- 相应文件夹
- 相应组织
本主题介绍如何在上述每个级别授予 Config Connector 权限。
选择适当的 IAM 角色
Config Connector 只能使用其具有的权限来管理资源。本主题的示例中使用了功能最强大的 Google Cloud IAM 角色(即 roles/owner)。要限制 Config Connector 的权限,请使用权限较少的角色,例如 roles/editor。
使用 Config Connector 管理其他项目
如需允许配置连接器管理另一个项目的资源,请运行以下命令:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner请替换以下内容:
- 将
PROJECT_ID替换为您的新项目 ID - 将
INSTALL_PROJECT_ID替换为安装过程中使用的项目 ID - 将
roles/owner替换为适当的角色
管理 IAM 文件夹中的所有项目
如需展开 Config Connector 的权限,以便它可以管理给定文件夹中的所有项目和文件夹,请运行以下命令:
gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner请替换以下内容:
- 将
FOLDER_ID替换为您的文件夹 ID - 将
INSTALL_PROJECT_ID替换为安装过程中使用的项目 - 将
roles/owner替换为适当的角色
管理 IAM 组织中的所有项目
要扩展 Config Connector 的权限以便它可以管理给定组织的所有项目和文件夹,请运行以下命令,并替换以下内容:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
--role roles/owner
请替换以下内容:
- 将
ORGANIZATION_ID替换为您的组织 ID,并且 - 将
INSTALL_PROJECT_ID替换为安装过程中使用的项目 ID - 将
roles/owner替换为适当的角色
防止资源争用
在跨多个 Google Cloud 项目、文件夹或组织管理资源时,Config Connector 具有内置的防止资源争用功能。如需了解详情,请参阅管理涉及多个 Config Connector 实例的冲突。