Ce document liste les rôles et autorisations dont vous avez besoin dans différents projets pour utiliser l'évaluation du gestionnaire de charges de travail et pour créer automatiquement des comptes de service du gestionnaire de charges de travail pour exécuter l'évaluation.
Projets du gestionnaire de charges de travail
Les évaluations Workload Manager analysent les ressources de plusieurs projets appelés projets cibles, mais l'évaluation n'est stockée que dans un seul projet appelé projet consommateur.
Vous utilisez le projet consommateur pour accéder au gestionnaire de charges de travail dans la consoleGoogle Cloud , et pour créer et exécuter des évaluations. Lorsque vous créez une évaluation à l'aide de la console Google Cloud , dans la section Périmètre de l'évaluation du workflow, vous spécifiez les projets cibles qui contiennent les ressources que vous souhaitez évaluer.
Si les ressources à évaluer sont présentes dans le même projet que celui dans lequel vous créez une évaluation Workload Manager, le projet consommateur est également considéré comme l'un de vos projets cibles.
Résumé des autorisations requises pour créer et exécuter une évaluation
Le tableau suivant récapitule les autorisations requises pour que les utilisateurs des projets consommateur et cible puissent créer et exécuter des évaluations à l'aide de Workload Manager. Pour obtenir l'autorisation dont vous avez besoin, demandez à votre administrateur de vous attribuer un rôle qui inclut l'autorisation requise ou de créer un rôle personnalisé.
Action | Projet du client | Projet cible |
---|---|---|
Activer l'API Workload Manager |
Autorisation : serviceusage.services.enable Rôle prédéfini incluant l'autorisation : roles/serviceusage.serviceUsageAdmin
|
Aucun |
Créer une évaluation |
Autorisation de créer un compte de service : resourcemanager.projects.setIamPolicy Rôle prédéfini incluant l'autorisation : roles/resourcemanager.projectIamAdmin
Obligatoire uniquement lorsque vous créez la première évaluation.
Rôle prédéfini qui accorde l'autorisation de créer une évaluation :
Rôle prédéfini qui accorde l'autorisation de créer des notifications d'alerte : Pour créer une évaluation à l'aide de règles personnalisées, vous avez besoin des autorisations supplémentaires suivantes : Rôle prédéfini qui accorde l'autorisation de lire les données de l'inventaire des éléments cloud : Rôle prédéfini qui accorde l'autorisation de lire les règles stockées dans un bucket Cloud Storage : Rôle prédéfini qui autorise l'écriture des résultats d'évaluation dans un ensemble de données BigQuery : |
Autorisation de créer un compte de service : resourcemanager.projects.setIamPolicy Rôle prédéfini incluant l'autorisation : roles/resourcemanager.projectIamAdmin
Obligatoire uniquement lorsque vous créez la première évaluation. |
les étapes pour exécuter une évaluation. |
Autorisation : workloadmanager.evaluations.run Rôle prédéfini incluant l'autorisation : roles/workloadmanager.evaluationAdmin
|
Aucun |
Afficher les résultats de l'évaluation |
Autorisation : workloadmanager.results.list Rôle prédéfini incluant l'autorisation : roles/workloadmanager.evaluationAdmin ou roles/workloadmanager.evaluationViewer
|
Aucun |
Agents de service du gestionnaire de charges de travail
Workload Manager utilise des agents de service pour contrôler l'accès et la communication entre les ressources et les projets associés.
Vous pouvez utiliser Google Cloud console ou l'API Workload Manager pour évaluer les charges de travail. Si vous utilisez Google Cloud console, Workload Manager crée automatiquement tous les agents de service requis. Si vous utilisez l'API Workload Manager, vous devez créer manuellement les agents de service.
Rôles requis
Pour obtenir l'autorisation nécessaire pour créer un agent de service, demandez à votre administrateur de vous accorder le rôle IAM Administrateur IAM du projet (roles/resourcemanager.projectIamAdmin
) sur chaque projet cible concerné.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient l'autorisation resourcemanager.projects.setIamPolicy
, qui est requise pour créer un agent de service.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créer et attribuer des rôles aux agents de service
Console Google Cloud
Si vous utilisez Google Cloud console pour évaluer les charges de travail, Workload Manager crée automatiquement des agents de service dans les projets consommateurs.
L'adresse e-mail de cet agent de service est service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
. Il s'agit du compte de service Workload Manager.
Les agents de service Workload Manager ont besoin des rôles suivants pour exécuter des évaluations. Si vous y êtes invité, attribuez ces rôles aux agents de service.
- Agent de service Workload Manager (
roles/workloadmanager.serviceAgent
) : requis dans les projets cibles. - Nœud de calcul Workload Manager (
roles/workloadmanager.worker
) : requis dans le projet consommateur uniquement si vous définissez une fréquence pour l'évaluation.
API Workload Manager
Si vous utilisez l'API Workload Manager pour évaluer des charges de travail, vous devez créer manuellement l'agent de service Workload Manager dans les projets consommateurs avant de créer une évaluation.
Pour créer un agent de service, utilisez la commande gcloud beta services identity create
:
gcloud beta services identity create --service=workloadmanager.googleapis.com \ --project=PROJECT_NUMBER
Remplacez PROJECT_NUMBER
par l'ID numérique du projet client dans lequel vous souhaitez créer l'agent de service.
Après avoir créé l'agent de service, vous devez lui attribuer les rôles suivants :
- Agent de service Workload Manager (
roles/workloadmanager.serviceAgent
) : requis dans les projets cibles. - Nœud de calcul Workload Manager (
roles/workloadmanager.worker
) : requis dans le projet consommateur uniquement si vous définissez une fréquence pour l'évaluation.
Pour en savoir plus, consultez Attribuer un rôle à l'agent de service.
Rôles supplémentaires du gestionnaire de charges de travail
Les utilisateurs ont besoin de rôles Workload Manager supplémentaires pour contrôler l'accès aux évaluations et aux ressources Workload Manager.
Pour en savoir plus, consultez Workload Manager : contrôle des accès avec IAM.