En este documento, se enumeran los roles y permisos que necesitas en diferentes proyectos para usar la evaluación del Administrador de cargas de trabajo y crear automáticamente cuentas de servicio del Administrador de cargas de trabajo para ejecutar la evaluación.
Proyectos de Workload Manager
Las evaluaciones del Administrador de cargas de trabajo analizan los recursos en varios proyectos, que se denominan proyectos de destino, pero la evaluación se almacena en un solo proyecto denominado proyecto de consumidor.
Usas el proyecto del consumidor para acceder a Workload Manager en la consola deGoogle Cloud y para crear y ejecutar evaluaciones. Cuando creas una evaluación con la consola de Google Cloud , en la sección Alcance de la evaluación del flujo de trabajo, especificas los proyectos objetivo que contienen los recursos que deseas evaluar.
Si los recursos que se evaluarán están presentes en el mismo proyecto en el que creas una evaluación de Workload Manager, el proyecto de consumidor también se considera uno de tus proyectos objetivo.
Resumen de los permisos necesarios para crear y ejecutar una evaluación
En la siguiente tabla, se resumen los permisos que deben tener los usuarios de los proyectos de destino y de consumidor para crear y ejecutar evaluaciones con Workload Manager. Para obtener el permiso que necesitas, pídele a tu administrador que te otorgue un rol que incluya el permiso requerido o que cree un rol personalizado.
Acción | Proyecto del consumidor | Proyecto de destino |
---|---|---|
Habilita la API de Workload Manager |
Permiso: serviceusage.services.enable Rol predefinido que incluye el permiso: roles/serviceusage.serviceUsageAdmin
|
Ninguno |
Crear una evaluación |
Permiso para crear una cuenta de servicio: resourcemanager.projects.setIamPolicy Rol predefinido que incluye el permiso: roles/resourcemanager.projectIamAdmin
Solo se requiere cuando creas la primera evaluación.
Rol predefinido que otorga permiso para crear una evaluación:
Rol predefinido que otorga permiso para crear notificaciones de alertas: Para crear una evaluación con reglas personalizadas, necesitas los siguientes permisos adicionales: Rol predefinido que otorga permiso para leer datos de Cloud Asset Inventory: Rol predefinido que otorga permiso para leer las reglas almacenadas en un bucket de Cloud Storage: Rol predefinido que otorga permiso para escribir resultados de la evaluación en un conjunto de datos de BigQuery: |
Permiso para crear una cuenta de servicio: resourcemanager.projects.setIamPolicy Rol predefinido que incluye el permiso: roles/resourcemanager.projectIamAdmin
Solo se requiere cuando creas la primera evaluación. |
Ejecutar una evaluación |
Permiso: workloadmanager.evaluations.run Rol predefinido que incluye el permiso: roles/workloadmanager.evaluationAdmin
|
Ninguno |
Visualiza los resultados de la evaluación |
Permiso: workloadmanager.results.list Rol predefinido que incluye el permiso: roles/workloadmanager.evaluationAdmin o roles/workloadmanager.evaluationViewer
|
Ninguno |
Agentes de servicio del Administrador de cargas de trabajo
Workload Manager usa agentes de servicio para controlar el acceso y la comunicación entre los recursos y los proyectos asociados.
Puedes usar Google Cloud console o la API de Workload Manager para evaluar cargas de trabajo. Si usas Google Cloud console, Workload Manager crea automáticamente todos los agentes de servicio necesarios. Si usas la API de Workload Manager, debes crear los agentes de servicio de forma manual.
Roles requeridos
Para obtener el permiso que necesitas para crear un agente de servicio, pídele a tu administrador que te otorgue el rol de IAM de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin
) en cada proyecto objetivo dentro del alcance.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene el permiso resourcemanager.projects.setIamPolicy
, que se requiere para crear un agente de servicio.
También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Crea y otorga roles a los agentes de servicio
Consola de Google Cloud
Si usas Google Cloud console para evaluar cargas de trabajo, Workload Manager crea automáticamente agentes de servicio en los proyectos del consumidor.
La dirección de correo electrónico de este agente de servicio es service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
y se llama Cuenta de servicio de Workload Manager.
Los agentes de servicio de Workload Manager requieren los siguientes roles para ejecutar evaluaciones. Si se te solicita, otorga estos roles a los agentes de servicio.
- Agente de servicio de Workload Manager (
roles/workloadmanager.serviceAgent
): Se requiere en los proyectos de destino. - Trabajador de Workload Manager (
roles/workloadmanager.worker
): Se requiere en el proyecto del consumidor solo si estableces una frecuencia para la evaluación.
API de Workload Manager
Si usas la API de Workload Manager para evaluar cargas de trabajo, debes crear manualmente el agente de servicio de Workload Manager en los proyectos del consumidor antes de crear una evaluación.
Para crear un agente de servicio, usa el comando gcloud beta services identity create
:
gcloud beta services identity create --service=workloadmanager.googleapis.com \ --project=PROJECT_NUMBER
Reemplaza PROJECT_NUMBER
por el ID numérico del proyecto de consumidor en el que deseas crear el agente de servicio.
Después de crear el agente de servicio, debes otorgarle los siguientes roles:
- Agente de servicio de Workload Manager (
roles/workloadmanager.serviceAgent
): Se requiere en los proyectos de destino. - Trabajador de Workload Manager (
roles/workloadmanager.worker
): Se requiere en el proyecto del consumidor solo si estableces una frecuencia para la evaluación.
Para obtener más información, consulta Cómo otorgar un rol al agente de servicio.
Roles adicionales de Workload Manager
Los usuarios requieren roles adicionales de Workload Manager para controlar aún más el acceso a las evaluaciones y los recursos de Workload Manager.
Para obtener más información, consulta Workload Manager: Control de acceso con IAM.