En este documento se enumeran los roles y permisos que necesitas en diferentes proyectos para usar la evaluación de Workload Manager y para crear automáticamente cuentas de servicio de Workload Manager para ejecutar la evaluación.
Proyectos de Workload Manager
Las evaluaciones de Workload Manager analizan recursos de varios proyectos, denominados proyectos de destino, pero la evaluación se almacena en un solo proyecto, denominado proyecto de consumidor.
El proyecto de consumidor se usa para acceder a Workload Manager en la consola y para crear y ejecutar evaluaciones.Google Cloud Cuando creas una evaluación con la Google Cloud consola, en la sección Ámbito de la evaluación del flujo de trabajo, especificas los proyectos de destino que contienen los recursos que quieres evaluar.
Si los recursos que se van a evaluar están en el mismo proyecto en el que creas una evaluación de Workload Manager, el proyecto de consumidor también se considera uno de tus proyectos de destino.
Resumen de los permisos necesarios para crear y ejecutar una evaluación
En la siguiente tabla se resumen los permisos que necesitan los usuarios de los proyectos de consumidor y de destino para crear y ejecutar evaluaciones con Gestor de cargas de trabajo. Para obtener el permiso que necesitas, pide a tu administrador que te asigne un rol que incluya el permiso necesario o que cree un rol personalizado.
| Acción | Proyecto de consumidor | Proyecto de destino |
|---|---|---|
| Habilitar la API Workload Manager |
Permiso: serviceusage.services.enableRol predefinido que incluye el permiso: roles/serviceusage.serviceUsageAdmin
|
Ninguno |
| Crear una evaluación |
Permiso para crear una cuenta de servicio: resourcemanager.projects.setIamPolicyRol predefinido que incluye el permiso: roles/resourcemanager.projectIamAdmin
Solo se requiere cuando crea la primera evaluación.
Rol predefinido que concede permiso para crear una evaluación:
Rol predefinido que concede permiso para crear notificaciones de alerta: Para crear una evaluación con reglas personalizadas, necesitas los siguientes permisos adicionales: Rol predefinido que concede permiso para leer datos de Inventario de Recursos de Cloud: Rol predefinido que concede permiso para leer reglas almacenadas en un segmento de Cloud Storage: Rol predefinido que concede permiso para escribir resultados de evaluación en un conjunto de datos de BigQuery: |
Permiso para crear una cuenta de servicio: resourcemanager.projects.setIamPolicyRol predefinido que incluye el permiso: roles/resourcemanager.projectIamAdmin
Solo se requiere cuando crea la primera evaluación. |
| Haz una evaluación |
Permiso: workloadmanager.evaluations.runRol predefinido que incluye el permiso: roles/workloadmanager.evaluationAdmin
|
Ninguno |
| Ver los resultados de la evaluación |
Permiso: workloadmanager.results.listRol predefinido que incluye el permiso: roles/workloadmanager.evaluationAdmino roles/workloadmanager.evaluationViewer
|
Ninguno |
Agentes de servicio de Workload Manager
Workload Manager usa agentes de servicio para controlar el acceso y la comunicación entre los recursos y los proyectos asociados.
Puedes usar la Google Cloud console o la API Workload Manager para evaluar cargas de trabajo. Si usas Google Cloud console, Workload Manager crea automáticamente todos los agentes de servicio necesarios. Si usas la API Workload Manager, debes crear manualmente los agentes de servicio.
Roles obligatorios
Para obtener el permiso que necesitas para crear un agente de servicio,
pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de gestión de identidades y accesos de proyectos (roles/resourcemanager.projectIamAdmin)
en cada proyecto de destino del ámbito.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene el permiso resourcemanager.projects.setIamPolicy
, que es necesario para crear un agente de servicio.
También puedes obtener este permiso con roles personalizados u otros roles predefinidos.
Crear y conceder roles a agentes de servicio
Google Cloud consola
Si usas el Google Cloud console para evaluar cargas de trabajo, Workload Manager crea agentes de servicio automáticamente en los proyectos de consumidor.
La dirección de correo de este agente de servicio es
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
y se llama Cuenta de servicio de Workload Manager.
Los agentes de servicio de Workload Manager necesitan los siguientes roles para ejecutar evaluaciones. Si se te pide, concede estos roles a los agentes de servicio.
- Agente de servicio de Workload Manager (
roles/workloadmanager.serviceAgent): obligatorio en los proyectos de destino. - Trabajador de Workload Manager (
roles/workloadmanager.worker): solo es necesario en el proyecto de consumidor si se define una frecuencia para la evaluación.
API de Workload Manager
Si usas la API Workload Manager para evaluar cargas de trabajo, debes crear manualmente el agente de servicio de Workload Manager en los proyectos de consumidor antes de crear una evaluación.
Para crear un agente de servicio, usa el gcloud beta services identity createcomando:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Sustituye PROJECT_NUMBER por el ID numérico del proyecto de consumidor en el que quieras crear el agente de servicio.
Después de crear el agente de servicio, debes asignarle los siguientes roles:
- Agente de servicio de Workload Manager (
roles/workloadmanager.serviceAgent): obligatorio en los proyectos de destino. - Trabajador de Workload Manager (
roles/workloadmanager.worker): solo es necesario en el proyecto de consumidor si se define una frecuencia para la evaluación.
Para obtener más información, consulta Conceder un rol al agente de servicio.
Roles adicionales de Workload Manager
Los usuarios necesitan roles adicionales de Gestor de cargas de trabajo para controlar el acceso a las evaluaciones y los recursos de Gestor de cargas de trabajo.
Para obtener más información, consulta Workload Manager: control de acceso con gestión de identidades y accesos.