Rôles et autorisations IAM

Ce document liste les rôles et autorisations dont vous avez besoin dans différents projets pour utiliser l'évaluation du gestionnaire de charges de travail et pour créer automatiquement des comptes de service du gestionnaire de charges de travail pour exécuter l'évaluation.

Projets du gestionnaire de charges de travail

Les évaluations Workload Manager analysent les ressources de plusieurs projets appelés projets cibles, mais l'évaluation n'est stockée que dans un seul projet appelé projet consommateur.

Vous utilisez le projet consommateur pour accéder au gestionnaire de charges de travail dans la consoleGoogle Cloud , et pour créer et exécuter des évaluations. Lorsque vous créez une évaluation à l'aide de la console Google Cloud , dans la section Périmètre de l'évaluation du workflow, vous spécifiez les projets cibles qui contiennent les ressources que vous souhaitez évaluer.

Si les ressources à évaluer sont présentes dans le même projet que celui dans lequel vous créez une évaluation Workload Manager, le projet consommateur est également considéré comme l'un de vos projets cibles.

Résumé des autorisations requises pour créer et exécuter une évaluation

Le tableau suivant récapitule les autorisations requises pour que les utilisateurs des projets consommateur et cible puissent créer et exécuter des évaluations à l'aide de Workload Manager. Pour obtenir l'autorisation dont vous avez besoin, demandez à votre administrateur de vous attribuer un rôle qui inclut l'autorisation requise ou de créer un rôle personnalisé.

Action Projet du client Projet cible
Activer l'API Workload Manager Autorisation :
serviceusage.services.enable

Rôle prédéfini incluant l'autorisation :
roles/serviceusage.serviceUsageAdmin
Aucun
Créer une évaluation Autorisation de créer un compte de service :
resourcemanager.projects.setIamPolicy

Rôle prédéfini incluant l'autorisation :
roles/resourcemanager.projectIamAdmin

Obligatoire uniquement lorsque vous créez la première évaluation.

Rôle prédéfini qui accorde l'autorisation de créer une évaluation :
roles/workloadmanager.evaluationAdmin

Rôle prédéfini qui accorde l'autorisation de créer des notifications d'alerte :
roles/monitoring.metricWriter

Pour créer une évaluation à l'aide de règles personnalisées, vous avez besoin des autorisations supplémentaires suivantes :

Rôle prédéfini qui accorde l'autorisation de lire les données de l'inventaire des éléments cloud :
roles/cloudasset.owner

Rôle prédéfini qui accorde l'autorisation de lire les règles stockées dans un bucket Cloud Storage :
roles/storage.objectViewer

Rôle prédéfini qui autorise l'écriture des résultats d'évaluation dans un ensemble de données BigQuery :
roles/bigquery.admin

Autorisation de créer un compte de service :
resourcemanager.projects.setIamPolicy

Rôle prédéfini incluant l'autorisation :
roles/resourcemanager.projectIamAdmin

Obligatoire uniquement lorsque vous créez la première évaluation.

les étapes pour exécuter une évaluation. Autorisation :
workloadmanager.evaluations.run

Rôle prédéfini incluant l'autorisation :
roles/workloadmanager.evaluationAdmin

Aucun

Afficher les résultats de l'évaluation Autorisation :
workloadmanager.results.list

Rôle prédéfini incluant l'autorisation :
roles/workloadmanager.evaluationAdmin
ou
roles/workloadmanager.evaluationViewer
Aucun

Agents de service du gestionnaire de charges de travail

Workload Manager utilise des agents de service pour contrôler l'accès et la communication entre les ressources et les projets associés.

Vous pouvez utiliser Google Cloud console ou l'API Workload Manager pour évaluer les charges de travail. Si vous utilisez Google Cloud console, Workload Manager crée automatiquement tous les agents de service requis. Si vous utilisez l'API Workload Manager, vous devez créer manuellement les agents de service.

Rôles requis

Pour obtenir l'autorisation nécessaire pour créer un agent de service, demandez à votre administrateur de vous accorder le rôle IAM Administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) sur chaque projet cible concerné. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient l'autorisation resourcemanager.projects.setIamPolicy, qui est requise pour créer un agent de service.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer et attribuer des rôles aux agents de service

Console Google Cloud

Si vous utilisez Google Cloud console pour évaluer les charges de travail, Workload Manager crée automatiquement des agents de service dans les projets consommateurs.

L'adresse e-mail de cet agent de service est service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com. Il s'agit du compte de service Workload Manager.

Les agents de service Workload Manager ont besoin des rôles suivants pour exécuter des évaluations. Si vous y êtes invité, attribuez ces rôles aux agents de service.

  • Agent de service Workload Manager (roles/workloadmanager.serviceAgent) : requis dans les projets cibles.
  • Nœud de calcul Workload Manager (roles/workloadmanager.worker) : requis dans le projet consommateur uniquement si vous définissez une fréquence pour l'évaluation.

API Workload Manager

Si vous utilisez l'API Workload Manager pour évaluer des charges de travail, vous devez créer manuellement l'agent de service Workload Manager dans les projets consommateurs avant de créer une évaluation. Pour créer un agent de service, utilisez la commande gcloud beta services identity create :

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

Remplacez PROJECT_NUMBER par l'ID numérique du projet client dans lequel vous souhaitez créer l'agent de service.

Après avoir créé l'agent de service, vous devez lui attribuer les rôles suivants :

  • Agent de service Workload Manager (roles/workloadmanager.serviceAgent) : requis dans les projets cibles.
  • Nœud de calcul Workload Manager (roles/workloadmanager.worker) : requis dans le projet consommateur uniquement si vous définissez une fréquence pour l'évaluation.

Pour en savoir plus, consultez Attribuer un rôle à l'agent de service.

Rôles supplémentaires du gestionnaire de charges de travail

Les utilisateurs ont besoin de rôles Workload Manager supplémentaires pour contrôler l'accès aux évaluations et aux ressources Workload Manager.

Pour en savoir plus, consultez Workload Manager : contrôle des accès avec IAM.

Étapes suivantes