Este documento indica as funções e as autorizações de que precisa em diferentes projetos para usar a avaliação do Workload Manager e criar automaticamente contas de serviço do Workload Manager para executar a avaliação.
Projetos do Workload Manager
As avaliações do Workload Manager analisam recursos em vários projetos, que são denominados projetos de destino, mas a avaliação é armazenada apenas num projeto denominado projeto de consumo.
Usa o projeto de consumidor para aceder ao Workload Manager naGoogle Cloud consola e para criar e executar avaliações. Quando cria uma avaliação através da Google Cloud consola, na secção Âmbito da avaliação do fluxo de trabalho, especifica os projetos de destino que contêm os recursos que quer avaliar.
Se os recursos a avaliar estiverem presentes no mesmo projeto onde cria uma avaliação do Workload Manager, o projeto de consumidor também é considerado um dos seus projetos de destino.
Resumo das autorizações necessárias para criar e executar uma avaliação
A tabela seguinte resume as autorizações necessárias para os utilizadores nos projetos de consumidor e de destino criarem e executarem avaliações através do Workload Manager. Para receber a autorização de que precisa, peça ao seu administrador para lhe conceder uma função que inclua a autorização necessária ou crie uma função personalizada.
| Ação | Projeto de consumo | Projeto de destino |
|---|---|---|
| Ative a API Workload Manager |
Autorização: serviceusage.services.enableFunção predefinida que inclui a autorização: roles/serviceusage.serviceUsageAdmin
|
Nenhum |
| Crie uma avaliação |
Autorização para criar uma conta de serviço: resourcemanager.projects.setIamPolicyFunção predefinida que inclui a autorização: roles/resourcemanager.projectIamAdmin
Obrigatório apenas quando cria a primeira avaliação.
Função predefinida que concede autorização para criar uma avaliação:
Função predefinida que concede autorização para criar notificações de alerta: Para criar uma avaliação com regras personalizadas, precisa das seguintes autorizações adicionais: Função predefinida que concede autorização para ler dados do Cloud Asset Inventory: Função predefinida que concede autorização para ler regras armazenadas num contentor do Cloud Storage: Função predefinida que concede autorização para escrever resultados da avaliação num conjunto de dados do BigQuery: |
Autorização para criar uma conta de serviço: resourcemanager.projects.setIamPolicyFunção predefinida que inclui a autorização: roles/resourcemanager.projectIamAdmin
Obrigatório apenas quando cria a primeira avaliação. |
| Execute uma avaliação |
Autorização: workloadmanager.evaluations.runFunção predefinida que inclui a autorização: roles/workloadmanager.evaluationAdmin
|
Nenhum |
| Veja os resultados da avaliação |
Autorização: workloadmanager.results.listFunção predefinida que inclui a autorização: roles/workloadmanager.evaluationAdminou roles/workloadmanager.evaluationViewer
|
Nenhum |
Agentes de serviço do Workload Manager
O Workload Manager usa agentes de serviço para controlar o acesso e a comunicação entre os recursos e os projetos associados.
Pode usar a Google Cloud console ou a API Workload Manager para avaliar cargas de trabalho. Se usar o Google Cloud console, o Workload Manager cria automaticamente todos os agentes de serviço necessários. Se usar a API Workload Manager, tem de criar manualmente os agentes de serviço.
Funções necessárias
Para receber a autorização de que
precisa para criar um agente de serviço,
peça ao seu administrador para lhe conceder a função IAM de
administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin)
em cada projeto de destino no âmbito.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém a autorização
resourcemanager.projects.setIamPolicy
, que é necessária para
criar um agente do serviço.
Também pode obter esta autorização com funções personalizadas ou outras funções predefinidas.
Crie e conceda funções a agentes de serviço
Google Cloud consola
Se usar o Google Cloud console para avaliar cargas de trabalho, o Workload Manager cria agentes de serviço nos projetos de consumidor automaticamente.
O endereço de email deste agente do serviço é
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
e chama-se conta de serviço do Workload Manager.
Os agentes do serviço Workload Manager requerem as seguintes funções para executar avaliações. Se lhe for pedido, conceda estas funções aos agentes de serviço.
- Agente de serviço do Workload Manager (
roles/workloadmanager.serviceAgent): obrigatório nos projetos de destino. - Workload Manager Worker (
roles/workloadmanager.worker): obrigatório no projeto de consumidor apenas se definir uma frequência para a avaliação.
API Workload Manager
Se usar a API Workload Manager para avaliar cargas de trabalho, tem de criar manualmente o agente de serviço do Workload Manager nos projetos de consumidor antes de criar uma avaliação.
Para criar um agente de serviço, use o gcloud beta services identity createcomando:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Substitua PROJECT_NUMBER pelo ID numérico do projeto de consumidor
no qual quer criar o agente de serviço.
Depois de criar o agente de serviço, tem de conceder as seguintes funções ao agente de serviço:
- Agente de serviço do Workload Manager (
roles/workloadmanager.serviceAgent): obrigatório nos projetos de destino. - Workload Manager Worker (
roles/workloadmanager.worker): obrigatório no projeto de consumidor apenas se definir uma frequência para a avaliação.
Para mais informações, consulte o artigo Conceda uma função ao agente de serviço.
Funções adicionais do Workload Manager
Os utilizadores precisam de funções adicionais do Workload Manager para controlar o acesso adicional a avaliações e recursos do Workload Manager.
Para mais informações, consulte o artigo Workload Manager: controlo de acesso com a IAM.