Permissões e papéis do IAM

Este documento lista os papéis e as permissões necessários em diferentes projetos para usar a avaliação do Gerenciador de cargas de trabalho e criar automaticamente contas de serviço do Gerenciador de cargas de trabalho para executar a avaliação.

Projetos do Workload Manager

As avaliações do Gerenciador de cargas de trabalho verificam recursos em vários projetos, chamados de projetos de destino, mas a avaliação é armazenada em apenas um projeto, chamado de projeto consumidor.

Você usa o projeto do consumidor para acessar o Gerenciador de cargas de trabalho no consoleGoogle Cloud e para criar e executar avaliações. Ao criar uma avaliação usando o console Google Cloud , na seção Escopo da avaliação do fluxo de trabalho, especifique os projetos de destino que contêm os recursos que você quer avaliar.

Se os recursos a serem avaliados estiverem presentes no mesmo projeto em que você cria uma avaliação do Workload Manager, o projeto consumidor também será considerado um dos seus projetos de destino.

Resumo das permissões necessárias para criar e executar uma avaliação

A tabela a seguir resume as permissões necessárias para que os usuários nos projetos de consumo e de destino criem e executem avaliações usando o Workload Manager. Para receber a permissão necessária, peça ao administrador para conceder a você um papel que inclua a permissão necessária ou crie um papel personalizado.

Ação Projeto do consumidor Projeto de destino
Ativar a API Workload Manager Permissão:
serviceusage.services.enable

Papel predefinido que inclui a permissão:
roles/serviceusage.serviceUsageAdmin
Nenhum
Criar uma avaliação Permissão para criar uma conta de serviço:
resourcemanager.projects.setIamPolicy

Papel predefinido que inclui a permissão:
roles/resourcemanager.projectIamAdmin

Obrigatório apenas ao criar a primeira avaliação.

Papel predefinido que concede permissão para criar uma avaliação:
roles/workloadmanager.evaluationAdmin

Papel predefinido que concede permissão para criar notificações de alerta:
roles/monitoring.metricWriter

Para criar uma avaliação usando regras personalizadas, você precisa das seguintes permissões adicionais:

Papel predefinido que concede permissão para ler dados do Inventário de recursos do Cloud:
roles/cloudasset.owner

Papel predefinido que concede permissão para ler regras armazenadas em um bucket do Cloud Storage:
roles/storage.objectViewer

Papel predefinido que concede permissão para gravar resultados de avaliação em um conjunto de dados do BigQuery:
roles/bigquery.admin

Permissão para criar uma conta de serviço:
resourcemanager.projects.setIamPolicy

Papel predefinido que inclui a permissão:
roles/resourcemanager.projectIamAdmin

Obrigatório apenas ao criar a primeira avaliação.

Executar uma avaliação Permissão:
workloadmanager.evaluations.run

Papel predefinido que inclui a permissão:
roles/workloadmanager.evaluationAdmin

Nenhum

Visualizar os resultados da avaliação Permissão:
workloadmanager.results.list

Papel predefinido que inclui a permissão:
roles/workloadmanager.evaluationAdmin
ou
roles/workloadmanager.evaluationViewer
Nenhum

Agentes de serviço do gerenciador de cargas de trabalho

O Workload Manager usa agentes de serviço para controlar o acesso e a comunicação entre recursos e os projetos associados.

É possível usar o Google Cloud console ou a API Workload Manager para avaliar cargas de trabalho. Se você usar o Google Cloud console, o Workload Manager criará automaticamente todos os agentes de serviço necessários. Se você usar a API Workload Manager, será necessário criar os agentes de serviço manualmente.

Funções exigidas

Para receber a permissão necessária para criar um agente de serviço, peça ao administrador para conceder a você o papel do IAM de Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) em cada projeto de destino no escopo. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém a permissão resourcemanager.projects.setIamPolicy, que é necessária para criar um agente de serviço.

Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.

Criar e conceder papéis a agentes de serviço

Console do Google Cloud

Se você usar o Google Cloud console para avaliar cargas de trabalho, o Gerenciador de cargas de trabalho criará agentes de serviço nos projetos consumidores automaticamente.

O endereço de e-mail desse agente de serviço é service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com, e ele é chamado de conta de serviço do Gerenciador de cargas de trabalho.

Os agentes de serviço do Workload Manager precisam das seguintes funções para executar avaliações. Se solicitado, conceda esses papéis aos agentes de serviço.

  • Agente de serviço do gerenciador de cargas de trabalho (roles/workloadmanager.serviceAgent): necessário nos projetos de destino.
  • Worker do gerenciador de cargas de trabalho (roles/workloadmanager.worker): necessário no projeto consumidor apenas se você definir uma frequência para a avaliação.

API Workload Manager

Se você usar a API Workload Manager para avaliar cargas de trabalho, crie manualmente o agente de serviço do Workload Manager nos projetos consumidores antes de criar uma avaliação. Para criar um agente de serviço, use o comando gcloud beta services identity create:

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

Substitua PROJECT_NUMBER pelo ID numérico do projeto de consumidor em que você quer criar o agente de serviço.

Depois de criar o agente de serviço, conceda a ele os seguintes papéis:

  • Agente de serviço do gerenciador de cargas de trabalho (roles/workloadmanager.serviceAgent): necessário nos projetos de destino.
  • Worker do gerenciador de cargas de trabalho (roles/workloadmanager.worker): necessário no projeto consumidor apenas se você definir uma frequência para a avaliação.

Para mais informações, consulte Conceder um papel ao agente de serviço.

Outras funções do Gerenciador de cargas de trabalho

Os usuários precisam de mais papéis do Gerenciador de cargas de trabalho para controlar o acesso a avaliações e recursos do Gerenciador de cargas de trabalho.

Para mais informações, consulte Workload Manager: controle de acesso com o IAM.

A seguir