Ruoli e autorizzazioni IAM

Questo documento elenca i ruoli e le autorizzazioni necessari per diversi progetti per utilizzare la valutazione di Workload Manager e per creare automaticamente service account Workload Manager per l'esecuzione della valutazione.

Progetti Workload Manager

Le valutazioni di Workload Manager analizzano le risorse in più progetti, chiamati progetti di destinazione, ma la valutazione viene archiviata in un solo progetto chiamato progetto consumer.

Utilizzi il progetto consumer per accedere a Gestore workload nella consoleGoogle Cloud e per creare ed eseguire valutazioni. Quando crei una valutazione utilizzando la console Google Cloud , nella sezione Ambito di valutazione del flusso di lavoro, specifichi i progetti di destinazione che contengono le risorse che vuoi valutare.

Se le risorse da valutare sono presenti nello stesso progetto in cui crei una valutazione di Workload Manager, anche il progetto consumer viene considerato uno dei tuoi progetti di destinazione.

Riepilogo delle autorizzazioni necessarie per creare ed eseguire una valutazione

La seguente tabella riassume le autorizzazioni necessarie agli utenti nei progetti consumer e di destinazione per creare ed eseguire valutazioni utilizzando Workload Manager. Per ottenere l'autorizzazione necessaria, chiedi all'amministratore di concederti un ruolo che includa l'autorizzazione richiesta o crea un ruolo personalizzato.

Azione Progetto consumer Progetto di destinazione
Abilita l'API Workload Manager Autorizzazione:
serviceusage.services.enable

Ruolo predefinito che include l'autorizzazione:
roles/serviceusage.serviceUsageAdmin
Nessuno
Crea una valutazione Autorizzazione per creare un account di servizio:
resourcemanager.projects.setIamPolicy

Ruolo predefinito che include l'autorizzazione:
roles/resourcemanager.projectIamAdmin

Obbligatorio solo quando crei la prima valutazione.

Ruolo predefinito che concede l'autorizzazione per creare una valutazione:
roles/workloadmanager.evaluationAdmin

Ruolo predefinito che concede l'autorizzazione per creare notifiche di avviso:
roles/monitoring.metricWriter

Per creare una valutazione utilizzando regole personalizzate, devi disporre delle seguenti autorizzazioni aggiuntive:

Ruolo predefinito che concede l'autorizzazione a leggere i dati di Cloud Asset Inventory:
roles/cloudasset.owner

Ruolo predefinito che concede l'autorizzazione a leggere le regole archiviate in un bucket Cloud Storage:
roles/storage.objectViewer

Ruolo predefinito che concede l'autorizzazione per scrivere i risultati della valutazione in un set di dati BigQuery:
roles/bigquery.admin

Autorizzazione per creare un account di servizio:
resourcemanager.projects.setIamPolicy

Ruolo predefinito che include l'autorizzazione:
roles/resourcemanager.projectIamAdmin

Obbligatorio solo quando crei la prima valutazione.

Esegui una valutazione Autorizzazione:
workloadmanager.evaluations.run

Ruolo predefinito che include l'autorizzazione:
roles/workloadmanager.evaluationAdmin

Nessuno

Visualizza i risultati di una valutazione Autorizzazione:
workloadmanager.results.list

Ruolo predefinito che include l'autorizzazione:
roles/workloadmanager.evaluationAdmin
o
roles/workloadmanager.evaluationViewer
Nessuno

Workload Manager service agents

Workload Manager utilizza agenti di servizio per controllare l'accesso e la comunicazione tra le risorse e i progetti associati.

Puoi utilizzare Google Cloud console o l'API Workload Manager per valutare i carichi di lavoro. Se utilizzi Google Cloud console, Workload Manager crea automaticamente tutti gli agenti di servizio richiesti. Se utilizzi l'API Workload Manager, devi creare manualmente gli agenti di servizio.

Ruoli obbligatori

Per ottenere l'autorizzazione necessaria per creare un service agent, chiedi all'amministratore di concederti il ruolo IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) in ogni progetto di destinazione incluso nell'ambito. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione resourcemanager.projects.setIamPolicy necessaria per creare un service agent.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Creare e concedere ruoli agli agenti di servizio

Console Google Cloud

Se utilizzi Google Cloud console per valutare i carichi di lavoro, il Gestore carichi di lavoro crea automaticamente service agent nei progetti consumer.

L'indirizzo email di questo service agent è service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com, e si chiama Service account Gestore workload.

Gli agenti di servizio Workload Manager richiedono i seguenti ruoli per eseguire le valutazioni. Se richiesto, concedi questi ruoli agli agenti di servizio.

  • Agente di servizio Workload Manager (roles/workloadmanager.serviceAgent): richiesto nei progetti di destinazione.
  • Workload Manager Worker (roles/workloadmanager.worker): richiesto nel progetto consumer solo se imposti una frequenza per la valutazione.

API Workload Manager

Se utilizzi l'API Workload Manager per valutare i carichi di lavoro, devi creare manualmente l'agente di servizio Workload Manager nei progetti consumer prima di creare una valutazione. Per creare un service agent, utilizza il comando gcloud beta services identity create:

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con l'ID numerico del progetto consumer in cui vuoi creare l'agente di servizio.

Dopo aver creato il service agent, devi concedergli i seguenti ruoli:

  • Agente di servizio Workload Manager (roles/workloadmanager.serviceAgent): richiesto nei progetti di destinazione.
  • Workload Manager Worker (roles/workloadmanager.worker): richiesto nel progetto consumer solo se imposti una frequenza per la valutazione.

Per ulteriori informazioni, vedi Concedere un ruolo al service agent.

Ruoli aggiuntivi di Workload Manager

Gli utenti richiedono ruoli del Gestore workload aggiuntivi per controllare ulteriormente l'accesso alle valutazioni e alle risorse del Gestore workload.

Per saperne di più, consulta Workload Manager: controllo dell'accesso con IAM.

Passaggi successivi