Funções e autorizações do IAM

Este documento indica as funções e as autorizações de que precisa em diferentes projetos para usar a avaliação do Workload Manager e criar automaticamente contas de serviço do Workload Manager para executar a avaliação.

Projetos do Workload Manager

As avaliações do Workload Manager analisam recursos em vários projetos, que são denominados projetos de destino, mas a avaliação é armazenada apenas num projeto denominado projeto de consumo.

Usa o projeto de consumidor para aceder ao Workload Manager naGoogle Cloud consola e para criar e executar avaliações. Quando cria uma avaliação através da Google Cloud consola, na secção Âmbito da avaliação do fluxo de trabalho, especifica os projetos de destino que contêm os recursos que quer avaliar.

Se os recursos a avaliar estiverem presentes no mesmo projeto onde cria uma avaliação do Workload Manager, o projeto de consumidor também é considerado um dos seus projetos de destino.

Resumo das autorizações necessárias para criar e executar uma avaliação

A tabela seguinte resume as autorizações necessárias para os utilizadores nos projetos de consumidor e de destino criarem e executarem avaliações através do Workload Manager. Para receber a autorização de que precisa, peça ao seu administrador para lhe conceder uma função que inclua a autorização necessária ou crie uma função personalizada.

Ação Projeto de consumo Projeto de destino
Ative a API Workload Manager Autorização:
serviceusage.services.enable

Função predefinida que inclui a autorização:
roles/serviceusage.serviceUsageAdmin
Nenhum
Crie uma avaliação Autorização para criar uma conta de serviço:
resourcemanager.projects.setIamPolicy

Função predefinida que inclui a autorização:
roles/resourcemanager.projectIamAdmin

Obrigatório apenas quando cria a primeira avaliação.

Função predefinida que concede autorização para criar uma avaliação:
roles/workloadmanager.evaluationAdmin

Função predefinida que concede autorização para criar notificações de alerta:
roles/monitoring.metricWriter

Para criar uma avaliação com regras personalizadas, precisa das seguintes autorizações adicionais:

Função predefinida que concede autorização para ler dados do Cloud Asset Inventory:
roles/cloudasset.owner

Função predefinida que concede autorização para ler regras armazenadas num contentor do Cloud Storage:
roles/storage.objectViewer

Função predefinida que concede autorização para escrever resultados da avaliação num conjunto de dados do BigQuery:
roles/bigquery.admin

Autorização para criar uma conta de serviço:
resourcemanager.projects.setIamPolicy

Função predefinida que inclui a autorização:
roles/resourcemanager.projectIamAdmin

Obrigatório apenas quando cria a primeira avaliação.

Execute uma avaliação Autorização:
workloadmanager.evaluations.run

Função predefinida que inclui a autorização:
roles/workloadmanager.evaluationAdmin

Nenhum

Veja os resultados da avaliação Autorização:
workloadmanager.results.list

Função predefinida que inclui a autorização:
roles/workloadmanager.evaluationAdmin
ou
roles/workloadmanager.evaluationViewer
Nenhum

Agentes de serviço do Workload Manager

O Workload Manager usa agentes de serviço para controlar o acesso e a comunicação entre os recursos e os projetos associados.

Pode usar a Google Cloud console ou a API Workload Manager para avaliar cargas de trabalho. Se usar o Google Cloud console, o Workload Manager cria automaticamente todos os agentes de serviço necessários. Se usar a API Workload Manager, tem de criar manualmente os agentes de serviço.

Funções necessárias

Para receber a autorização de que precisa para criar um agente de serviço, peça ao seu administrador para lhe conceder a função IAM de administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) em cada projeto de destino no âmbito. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém a autorização resourcemanager.projects.setIamPolicy , que é necessária para criar um agente do serviço.

Também pode obter esta autorização com funções personalizadas ou outras funções predefinidas.

Crie e conceda funções a agentes de serviço

Google Cloud consola

Se usar o Google Cloud console para avaliar cargas de trabalho, o Workload Manager cria agentes de serviço nos projetos de consumidor automaticamente.

O endereço de email deste agente do serviço é service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com e chama-se conta de serviço do Workload Manager.

Os agentes do serviço Workload Manager requerem as seguintes funções para executar avaliações. Se lhe for pedido, conceda estas funções aos agentes de serviço.

  • Agente de serviço do Workload Manager (roles/workloadmanager.serviceAgent): obrigatório nos projetos de destino.
  • Workload Manager Worker (roles/workloadmanager.worker): obrigatório no projeto de consumidor apenas se definir uma frequência para a avaliação.

API Workload Manager

Se usar a API Workload Manager para avaliar cargas de trabalho, tem de criar manualmente o agente de serviço do Workload Manager nos projetos de consumidor antes de criar uma avaliação. Para criar um agente de serviço, use o gcloud beta services identity createcomando:

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

Substitua PROJECT_NUMBER pelo ID numérico do projeto de consumidor no qual quer criar o agente de serviço.

Depois de criar o agente de serviço, tem de conceder as seguintes funções ao agente de serviço:

  • Agente de serviço do Workload Manager (roles/workloadmanager.serviceAgent): obrigatório nos projetos de destino.
  • Workload Manager Worker (roles/workloadmanager.worker): obrigatório no projeto de consumidor apenas se definir uma frequência para a avaliação.

Para mais informações, consulte o artigo Conceda uma função ao agente de serviço.

Funções adicionais do Workload Manager

Os utilizadores precisam de funções adicionais do Workload Manager para controlar o acesso adicional a avaliações e recursos do Workload Manager.

Para mais informações, consulte o artigo Workload Manager: controlo de acesso com a IAM.

O que se segue?