이 문서에는 워크로드 관리자 평가를 사용하고 평가를 실행하기 위한 워크로드 관리자 서비스 계정을 자동으로 만드는 데 다양한 프로젝트에서 필요한 역할과 권한이 나와 있습니다.
워크로드 관리자 프로젝트
워크로드 관리자 평가는 타겟 프로젝트라고 하는 여러 프로젝트에서 리소스를 스캔하지만 평가는 소비자 프로젝트라는 하나의 프로젝트에만 저장됩니다.
소비자 프로젝트를 사용하여 Google Cloud 콘솔의 워크로드 관리자에 액세스하고 평가를 만들고 실행합니다. Google Cloud 콘솔을 사용하여 평가를 만들 때 워크플로의 평가 범위 섹션에서 평가하려는 리소스가 포함된 타겟 프로젝트를 지정합니다.
평가할 리소스가 워크로드 관리자 평가를 만드는 것과 동일한 프로젝트에 있는 경우 소비자 프로젝트도 타겟 프로젝트 중 하나로 간주됩니다.
평가를 만들고 실행하는 데 필요한 권한 요약
다음 표에는 소비자 프로젝트와 대상 프로젝트의 사용자가 워크로드 관리자를 사용하여 평가를 만들고 실행하는 데 필요한 권한이 요약되어 있습니다. 필요한 권한을 얻으려면 관리자에게 필요한 권한이 포함된 역할을 부여해 달라고 요청하거나 커스텀 역할을 만드세요.
| 작업 | 소비자 프로젝트 | 대상 프로젝트 |
|---|---|---|
| Workload Manager API 사용 설정 |
권한: serviceusage.services.enable권한이 포함된 사전 정의된 역할: roles/serviceusage.serviceUsageAdmin
|
없음 |
| 평가 생성 |
1. 서비스 계정을 만들 권한: resourcemanager.projects.setIamPolicy권한이 포함된 사전 정의된 역할: roles/resourcemanager.projectIamAdmin
첫 번째 평가를 만들 때만 필요합니다.
2. 평가를 만들 권한을 부여하는 사전 정의된 역할: |
서비스 계정을 만들 권한: resourcemanager.projects.setIamPolicy권한이 포함된 사전 정의된 역할: roles/resourcemanager.projectIamAdmin
첫 번째 평가를 만들 때만 필요합니다. |
| 평가 실행 |
권한: workloadmanager.evaluations.run권한이 포함된 사전 정의된 역할: roles/workloadmanager.evaluationAdmin
|
없음 |
| 평가 결과 보기 |
권한: workloadmanager.results.list다음 권한이 포함된 사전 정의된 역할: roles/workloadmanager.evaluationAdmin또는 roles/workloadmanager.evaluationViewer
|
없음 |
워크로드 관리자 서비스 에이전트
워크로드 관리자는 서비스 에이전트를 사용하여 리소스와 연결된 프로젝트 간의 액세스 및 통신을 제어합니다.
Google Cloud 콘솔 또는 Workload Manager API를 사용하여 워크로드를 평가할 수 있습니다. Google Cloud 콘솔을 사용하는 경우 Workload Manager가 필요한 모든 서비스 에이전트를 자동으로 만듭니다. Workload Manager API를 사용하는 경우 서비스 에이전트를 수동으로 만들어야 합니다.
필요한 역할
서비스 에이전트를 만드는 데 필요한 권한을 얻으려면 관리자에게 범위 내 각 대상 프로젝트에 대한 프로젝트 IAM 관리자 (roles/resourcemanager.projectIamAdmin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이 사전 정의된 역할에는 서비스 에이전트를 만드는 데 필요한 resourcemanager.projects.setIamPolicy 권한이 포함되어 있습니다.
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
서비스 에이전트 만들기 및 역할 부여
Google Cloud 콘솔
Google Cloud 콘솔을 사용하여 워크로드를 평가하면 워크로드 관리자가 소비자 프로젝트에 서비스 에이전트를 자동으로 만듭니다.
이 서비스 에이전트의 이메일 주소는 service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com이며 워크로드 관리자 서비스 계정이라고 합니다.
워크로드 관리자 서비스 에이전트는 평가를 실행하려면 다음 역할이 필요합니다. 메시지가 표시되면 서비스 에이전트에 이러한 역할을 부여합니다.
- 워크로드 관리자 서비스 에이전트 (
roles/workloadmanager.serviceAgent): 대상 프로젝트에 필요합니다. - 워크로드 관리자 작업자 (
roles/workloadmanager.worker): 평가 빈도를 설정한 경우에만 소비자 프로젝트에 필요합니다.
Workload Manager API
워크로드 관리자 API를 사용하여 워크로드를 평가하는 경우 평가를 만들기 전에 소비자 프로젝트에서 워크로드 관리자 서비스 에이전트를 수동으로 만들어야 합니다.
서비스 에이전트를 만들려면 gcloud beta services identity create 명령어를 사용합니다.
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
PROJECT_NUMBER를 서비스 에이전트를 만들려는 소비자 프로젝트의 숫자 ID로 바꿉니다.
서비스 에이전트를 만든 후에는 서비스 에이전트에 다음 역할을 부여해야 합니다.
- 워크로드 관리자 서비스 에이전트 (
roles/workloadmanager.serviceAgent): 대상 프로젝트에 필요합니다. - 워크로드 관리자 작업자 (
roles/workloadmanager.worker): 평가 빈도를 설정한 경우에만 소비자 프로젝트에 필요합니다.
자세한 내용은 서비스 에이전트에 역할 부여를 참고하세요.
추가 워크로드 관리자 역할
사용자는 워크로드 관리자 평가 및 리소스에 대한 추가 액세스 권한을 제어하려면 추가 워크로드 관리자 역할을 받아야 합니다.
자세한 내용은 워크로드 관리자: IAM으로 액세스 제어를 참고하세요.