Halaman ini diterjemahkan oleh Cloud Translation API.

Peran dan izin IAM

Dokumen ini mencantumkan peran dan izin yang Anda perlukan di berbagai project untuk menggunakan evaluasi Workload Manager dan membuat akun layanan Workload Manager secara otomatis untuk menjalankan evaluasi.

Project Workload Manager

Evaluasi Workload Manager memindai resource di beberapa project yang disebut project target, tetapi evaluasi hanya disimpan dalam satu project yang disebut project konsumen.

Anda menggunakan project konsumen untuk mengakses Workload Manager di konsolGoogle Cloud , serta untuk membuat dan menjalankan evaluasi. Saat membuat evaluasi menggunakan konsol Google Cloud , di bagian Cakupan evaluasi alur kerja, Anda menentukan project target yang menyimpan resource yang ingin dievaluasi.

Jika resource yang akan dievaluasi ada di project yang sama tempat Anda membuat evaluasi Workload Manager, project konsumen juga dianggap sebagai salah satu project target Anda.

Ringkasan izin yang diperlukan untuk membuat dan menjalankan evaluasi

Tabel berikut merangkum izin yang diperlukan bagi pengguna di project konsumen dan target untuk membuat dan menjalankan evaluasi menggunakan Workload Manager. Untuk mendapatkan izin yang Anda perlukan, minta administrator untuk memberi Anda peran yang menyertakan izin yang diperlukan atau buat peran khusus.

Tindakan	Project konsumen	Project target
Mengaktifkan Workload Manager API	Izin: `serviceusage.services.enable` Peran bawaan yang mencakup izin: `roles/serviceusage.serviceUsageAdmin`	Tidak ada
Membuat evaluasi	Izin untuk membuat akun layanan: `resourcemanager.projects.setIamPolicy` Peran yang telah ditetapkan yang menyertakan izin: `roles/resourcemanager.projectIamAdmin` Hanya diperlukan saat Anda membuat evaluasi pertama. Peran bawaan yang memberikan izin untuk membuat evaluasi: `roles/workloadmanager.evaluationAdmin` Peran bawaan yang memberikan izin untuk membuat notifikasi peringatan: `roles/monitoring.metricWriter` Untuk membuat evaluasi menggunakan aturan kustom, Anda memerlukan izin tambahan berikut: Peran bawaan yang memberikan izin untuk membaca data Inventaris Aset Cloud: `roles/cloudasset.owner` Peran bawaan yang memberikan izin untuk membaca aturan yang disimpan dalam bucket Cloud Storage: `roles/storage.objectViewer` Peran bawaan yang memberikan izin untuk menulis hasil evaluasi ke set data BigQuery: `roles/bigquery.admin`	Izin untuk membuat akun layanan: `resourcemanager.projects.setIamPolicy` Peran yang telah ditetapkan yang menyertakan izin: `roles/resourcemanager.projectIamAdmin` Hanya diperlukan saat Anda membuat evaluasi pertama.
Jalankan evaluasi	Izin: `workloadmanager.evaluations.run` Peran bawaan yang mencakup izin: `roles/workloadmanager.evaluationAdmin`	Tidak ada
Melihat hasil evaluasi	Izin: `workloadmanager.results.list` Peran bawaan yang mencakup izin: `roles/workloadmanager.evaluationAdmin` atau `roles/workloadmanager.evaluationViewer`	Tidak ada

Agen layanan Workload Manager

Workload Manager menggunakan agen layanan untuk mengontrol akses dan komunikasi antara resource dan project terkait.

Anda dapat menggunakan Google Cloud console atau Workload Manager API untuk mengevaluasi workload. Jika Anda menggunakan Google Cloud console, Workload Manager akan membuat semua agen layanan yang diperlukan secara otomatis. Jika menggunakan Workload Manager API, Anda harus membuat agen layanan secara manual.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk membuat agen layanan, minta administrator untuk memberi Anda peran IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) di setiap project target dalam cakupan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin resourcemanager.projects.setIamPolicy , yang diperlukan untuk membuat agen layanan.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat dan memberikan peran ke agen layanan

Google Cloud console

Jika Anda menggunakan Google Cloud console untuk mengevaluasi workload, Workload Manager akan membuat agen layanan di project konsumen secara otomatis.

Alamat email untuk agen layanan ini adalah service-PROJECT_NUMBER@gcp-sa-workloadmanager., dan disebut Akun Layanan Workload Manager.

Agen layanan Workload Manager memerlukan peran berikut untuk menjalankan evaluasi. Jika diminta, berikan peran ini kepada agen layanan.

Agen Layanan Workload Manager (roles/workloadmanager.serviceAgent): diperlukan di project target.
Pekerja Workload Manager (roles/workloadmanager.worker): diperlukan di project konsumen hanya jika Anda menetapkan frekuensi untuk evaluasi.

Workload Manager API

Jika Anda menggunakan Workload Manager API untuk mengevaluasi beban kerja, Anda harus membuat agen layanan Workload Manager secara manual di project konsumen sebelum membuat evaluasi. Untuk membuat agen layanan, gunakan perintah gcloud beta services identity create:

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

Ganti PROJECT_NUMBER dengan ID numerik project konsumen tempat Anda ingin membuat agen layanan.

Setelah membuat agen layanan, Anda harus memberikan peran berikut kepada agen layanan:

Agen Layanan Workload Manager (roles/workloadmanager.serviceAgent): diperlukan di project target.
Pekerja Workload Manager (roles/workloadmanager.worker): diperlukan di project konsumen hanya jika Anda menetapkan frekuensi untuk evaluasi.

Untuk mengetahui informasi selengkapnya, lihat Memberikan peran kepada agen layanan.

Peran Workload Manager tambahan

Pengguna memerlukan peran Workload Manager tambahan untuk mengontrol akses lebih lanjut ke evaluasi dan resource Workload Manager.

Untuk mengetahui informasi selengkapnya, lihat Workload Manager: Kontrol akses dengan IAM.

Langkah berikutnya

Membuat dan menjalankan evaluasi