Questo documento elenca i ruoli e le autorizzazioni necessari per diversi progetti per utilizzare la valutazione di Workload Manager e per creare automaticamente service account Workload Manager per l'esecuzione della valutazione.
Progetti Workload Manager
Le valutazioni di Workload Manager analizzano le risorse in più progetti, chiamati progetti di destinazione, ma la valutazione viene archiviata in un solo progetto chiamato progetto consumer.
Utilizzi il progetto consumer per accedere a Gestore workload nella consoleGoogle Cloud e per creare ed eseguire valutazioni. Quando crei una valutazione utilizzando la console Google Cloud , nella sezione Ambito di valutazione del flusso di lavoro, specifichi i progetti di destinazione che contengono le risorse che vuoi valutare.
Se le risorse da valutare sono presenti nello stesso progetto in cui crei una valutazione di Workload Manager, anche il progetto consumer viene considerato uno dei tuoi progetti di destinazione.
Riepilogo delle autorizzazioni necessarie per creare ed eseguire una valutazione
La seguente tabella riassume le autorizzazioni necessarie agli utenti nei progetti consumer e di destinazione per creare ed eseguire valutazioni utilizzando Workload Manager. Per ottenere l'autorizzazione necessaria, chiedi all'amministratore di concederti un ruolo che includa l'autorizzazione richiesta o crea un ruolo personalizzato.
| Azione | Progetto consumer | Progetto di destinazione |
|---|---|---|
| Abilita l'API Workload Manager |
Autorizzazione: serviceusage.services.enableRuolo predefinito che include l'autorizzazione: roles/serviceusage.serviceUsageAdmin
|
Nessuno |
| Crea una valutazione |
Autorizzazione per creare un account di servizio: resourcemanager.projects.setIamPolicyRuolo predefinito che include l'autorizzazione: roles/resourcemanager.projectIamAdmin
Obbligatorio solo quando crei la prima valutazione.
Ruolo predefinito che concede l'autorizzazione per creare una valutazione:
Ruolo predefinito che concede l'autorizzazione per creare notifiche di avviso: Per creare una valutazione utilizzando regole personalizzate, devi disporre delle seguenti autorizzazioni aggiuntive: Ruolo predefinito che concede l'autorizzazione a leggere i dati di Cloud Asset Inventory: Ruolo predefinito che concede l'autorizzazione a leggere le regole archiviate in un bucket Cloud Storage: Ruolo predefinito che concede l'autorizzazione per scrivere i risultati della valutazione in un set di dati BigQuery: |
Autorizzazione per creare un account di servizio: resourcemanager.projects.setIamPolicyRuolo predefinito che include l'autorizzazione: roles/resourcemanager.projectIamAdmin
Obbligatorio solo quando crei la prima valutazione. |
| Esegui una valutazione |
Autorizzazione: workloadmanager.evaluations.runRuolo predefinito che include l'autorizzazione: roles/workloadmanager.evaluationAdmin
|
Nessuno |
| Visualizza i risultati di una valutazione |
Autorizzazione: workloadmanager.results.listRuolo predefinito che include l'autorizzazione: roles/workloadmanager.evaluationAdmino roles/workloadmanager.evaluationViewer
|
Nessuno |
Workload Manager service agents
Workload Manager utilizza agenti di servizio per controllare l'accesso e la comunicazione tra le risorse e i progetti associati.
Puoi utilizzare Google Cloud console o l'API Workload Manager per valutare i carichi di lavoro. Se utilizzi Google Cloud console, Workload Manager crea automaticamente tutti gli agenti di servizio richiesti. Se utilizzi l'API Workload Manager, devi creare manualmente gli agenti di servizio.
Ruoli obbligatori
Per ottenere l'autorizzazione necessaria per creare un service agent, chiedi all'amministratore di concederti il ruolo IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) in ogni progetto di destinazione incluso nell'ambito.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'autorizzazione
resourcemanager.projects.setIamPolicy
necessaria per
creare un service agent.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Creare e concedere ruoli agli agenti di servizio
Console Google Cloud
Se utilizzi Google Cloud console per valutare i carichi di lavoro, il Gestore carichi di lavoro crea automaticamente service agent nei progetti consumer.
L'indirizzo email di questo service agent è
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com,
e si chiama Service account Gestore workload.
Gli agenti di servizio Workload Manager richiedono i seguenti ruoli per eseguire le valutazioni. Se richiesto, concedi questi ruoli agli agenti di servizio.
- Agente di servizio Workload Manager (
roles/workloadmanager.serviceAgent): richiesto nei progetti di destinazione. - Workload Manager Worker (
roles/workloadmanager.worker): richiesto nel progetto consumer solo se imposti una frequenza per la valutazione.
API Workload Manager
Se utilizzi l'API Workload Manager per valutare i carichi di lavoro, devi creare manualmente l'agente di servizio Workload Manager nei progetti consumer prima di creare una valutazione.
Per creare un service agent, utilizza il comando gcloud beta services identity create:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Sostituisci PROJECT_NUMBER con l'ID numerico del progetto consumer
in cui vuoi creare l'agente di servizio.
Dopo aver creato il service agent, devi concedergli i seguenti ruoli:
- Agente di servizio Workload Manager (
roles/workloadmanager.serviceAgent): richiesto nei progetti di destinazione. - Workload Manager Worker (
roles/workloadmanager.worker): richiesto nel progetto consumer solo se imposti una frequenza per la valutazione.
Per ulteriori informazioni, vedi Concedere un ruolo al service agent.
Ruoli aggiuntivi di Workload Manager
Gli utenti richiedono ruoli del Gestore workload aggiuntivi per controllare ulteriormente l'accesso alle valutazioni e alle risorse del Gestore workload.
Per saperne di più, consulta Workload Manager: controllo dell'accesso con IAM.