整理資源

總覽

Config Connector 可在專案層級、資料夾層級或機構層級範圍內建立及管理 Google Cloud 資源。Config Connector 需要判斷:

  • 是否要在專案層級、資料夾層級或機構層級建立資源。
  • 要使用的專案、資料夾或機構。

因此,Config Connector 會先檢查資源規格中的範圍定義欄位,如果找不到,就會檢查範圍定義註解。大部分 Google Cloud 資源只能在專案層級建立。

資源建立成功後,無論範圍如何設定,欄位或註解都會變成不可變動。如要變更資源的範圍,您必須刪除目前的資源,並在其他專案、資料夾或機構範圍中建立新的資源。

範圍定義欄位

範圍定義資源規格欄位是資源規格的一部分,只能在資源設定中設定。它遵循 SCOPERef 的命名慣例。視資源類型而定,規格架構可能包含下列其中一個欄位:

  • projectRef
  • folderRef
  • organizationRef

範圍定義註解

您可以在資源的設定中,或包含資源的 Kubernetes 命名空間中,定義範圍定義註解。範圍定義註解可分為三種類型,具體取決於資源類型:

  • cnrm.cloud.google.com/project-id
  • cnrm.cloud.google.com/folder-id
  • cnrm.cloud.google.com/organization-id

大多數 Config Connector 資源都支援範圍定義欄位。我們建議您使用欄位,而非範圍定義註解,因為範圍定義欄位可讓資源規格更為自給自足,並可在單一步驟中建立範圍及其包含的資源。如果資源不支援範圍定義欄位,您可以在其設定中提供範圍定義註解,或是透過註解命名空間,為特定命名空間中的所有資源預設註解。如果資源的設定中直接包含範圍定義註解,系統會忽略命名空間註解。

例外狀況

如果範圍概念不適用於 Config Connector 資源,您就不需要指定專案、資料夾或機構範圍。具體來說,如果資源參考資料頁面中列出的資源沒有範圍定義欄位或範圍定義註解,您就不需要新增範圍。

部分資源 (例如 BillingBudgetsBudget) 會綁定至 Google Cloud 帳單帳戶,因此您必須指定帳單帳戶資訊。

您不需要提供範圍,即可使用 IAM 資源,包括 IAMPolicyIAMPartialPolicyIAMPolicyMemberIAMAuditConfig。相反地,這些資源會透過 spec.resourceRef 欄位附加至另一個 Google Cloud 資源。這個其他 Google Cloud 資源可以是 PubSubTopicSpannerInstance,甚至是專案、資料夾、機構等「範圍」,這些資源本身會以 Google Cloud 資源的形式建模。

後續步驟

請參閱如何套用下列類型的權限範圍: