管理多个集群和项目

Config Connector 安装在您的项目中具有系统服务帐号和角色。如果要管理其他项目,您需要授予对以下内容的权限:

  • 其他项目
  • 相应文件夹
  • 相应组织

本主题介绍如何在上述每个级别授予 Config Connector 权限。

选择适当的 IAM 角色

Config Connector 只能使用其具有的权限来管理资源。本主题的示例中使用了功能最强大的 Google Cloud IAM 角色(即 roles/owner)。要限制 Config Connector 的权限,请使用权限较少的角色,例如 roles/editor

使用 Config Connector 管理其他项目

如需允许配置连接器管理另一个项目的资源,请运行以下命令:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

请替换以下内容:

  • PROJECT_ID 替换为您的新项目 ID
  • INSTALL_PROJECT_ID 替换为安装过程中使用的项目 ID
  • roles/owner 替换为适当的角色

管理 IAM 文件夹中的所有项目

如需展开 Config Connector 的权限,以便它可以管理给定文件夹中的所有项目和文件夹,请运行以下命令:

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

请替换以下内容:

  • FOLDER_ID 替换为您的文件夹 ID
  • INSTALL_PROJECT_ID 替换为安装过程中使用的项目
  • roles/owner 替换为适当的角色

管理 IAM 组织中的所有项目

要扩展 Config Connector 的权限以便它可以管理给定组织的所有项目和文件夹,请运行以下命令,并替换以下内容:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member serviceAccount:cnrm-system@INSTALL_PROJECT_ID.iam.gserviceaccount.com \
  --role roles/owner

请替换以下内容:

  • ORGANIZATION_ID 替换为您的组织 ID,并且
  • INSTALL_PROJECT_ID 替换为安装过程中使用的项目 ID
  • roles/owner 替换为适当的角色

防止资源争用

在跨多个 Google Cloud 项目、文件夹或组织管理资源时,Config Connector 具有内置的防止资源争用功能。如需了解详情,请参阅管理涉及多个 Config Connector 实例的冲突