Este documento lista os papéis e as permissões necessários em diferentes projetos para usar a avaliação do Gerenciador de cargas de trabalho e criar automaticamente contas de serviço do Gerenciador de cargas de trabalho para executar a avaliação.
Projetos do Workload Manager
As avaliações do Gerenciador de cargas de trabalho verificam recursos em vários projetos, chamados de projetos de destino, mas a avaliação é armazenada em apenas um projeto, chamado de projeto consumidor.
Você usa o projeto do consumidor para acessar o Gerenciador de cargas de trabalho no consoleGoogle Cloud e para criar e executar avaliações. Ao criar uma avaliação usando o console Google Cloud , na seção Escopo da avaliação do fluxo de trabalho, especifique os projetos de destino que contêm os recursos que você quer avaliar.
Se os recursos a serem avaliados estiverem presentes no mesmo projeto em que você cria uma avaliação do Workload Manager, o projeto consumidor também será considerado um dos seus projetos de destino.
Resumo das permissões necessárias para criar e executar uma avaliação
A tabela a seguir resume as permissões necessárias para que os usuários nos projetos de consumo e de destino criem e executem avaliações usando o Workload Manager. Para receber a permissão necessária, peça ao administrador para conceder a você um papel que inclua a permissão necessária ou crie um papel personalizado.
Ação | Projeto do consumidor | Projeto de destino |
---|---|---|
Ativar a API Workload Manager |
Permissão: serviceusage.services.enable Papel predefinido que inclui a permissão: roles/serviceusage.serviceUsageAdmin
|
Nenhum |
Criar uma avaliação |
Permissão para criar uma conta de serviço: resourcemanager.projects.setIamPolicy Papel predefinido que inclui a permissão: roles/resourcemanager.projectIamAdmin
Obrigatório apenas ao criar a primeira avaliação.
Papel predefinido que concede permissão para criar uma avaliação:
Papel predefinido que concede permissão para criar notificações de alerta: Para criar uma avaliação usando regras personalizadas, você precisa das seguintes permissões adicionais: Papel predefinido que concede permissão para ler dados do Inventário de recursos do Cloud: Papel predefinido que concede permissão para ler regras armazenadas em um bucket do Cloud Storage: Papel predefinido que concede permissão para gravar resultados de avaliação em um conjunto de dados do BigQuery: |
Permissão para criar uma conta de serviço: resourcemanager.projects.setIamPolicy Papel predefinido que inclui a permissão: roles/resourcemanager.projectIamAdmin
Obrigatório apenas ao criar a primeira avaliação. |
Executar uma avaliação |
Permissão: workloadmanager.evaluations.run Papel predefinido que inclui a permissão: roles/workloadmanager.evaluationAdmin
|
Nenhum |
Visualizar os resultados da avaliação |
Permissão: workloadmanager.results.list Papel predefinido que inclui a permissão: roles/workloadmanager.evaluationAdmin ou roles/workloadmanager.evaluationViewer
|
Nenhum |
Agentes de serviço do gerenciador de cargas de trabalho
O Workload Manager usa agentes de serviço para controlar o acesso e a comunicação entre recursos e os projetos associados.
É possível usar o Google Cloud console ou a API Workload Manager para avaliar cargas de trabalho. Se você usar o Google Cloud console, o Workload Manager criará automaticamente todos os agentes de serviço necessários. Se você usar a API Workload Manager, será necessário criar os agentes de serviço manualmente.
Funções exigidas
Para receber a permissão necessária para criar um agente de serviço,
peça ao administrador para conceder a você o papel do IAM de
Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin
)
em cada projeto de destino no escopo.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém a
permissão
resourcemanager.projects.setIamPolicy
,
que é necessária para
criar um agente de serviço.
Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.
Criar e conceder papéis a agentes de serviço
Console do Google Cloud
Se você usar o Google Cloud console para avaliar cargas de trabalho, o Gerenciador de cargas de trabalho criará agentes de serviço nos projetos consumidores automaticamente.
O endereço de e-mail desse agente de serviço é
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
,
e ele é chamado de conta de serviço do Gerenciador de cargas de trabalho.
Os agentes de serviço do Workload Manager precisam das seguintes funções para executar avaliações. Se solicitado, conceda esses papéis aos agentes de serviço.
- Agente de serviço do gerenciador de cargas de trabalho (
roles/workloadmanager.serviceAgent
): necessário nos projetos de destino. - Worker do gerenciador de cargas de trabalho (
roles/workloadmanager.worker
): necessário no projeto consumidor apenas se você definir uma frequência para a avaliação.
API Workload Manager
Se você usar a API Workload Manager para avaliar cargas de trabalho, crie manualmente o agente de serviço do Workload Manager nos projetos consumidores antes de criar uma avaliação.
Para criar um agente de serviço, use o comando gcloud beta services identity create
:
gcloud beta services identity create --service=workloadmanager.googleapis.com \ --project=PROJECT_NUMBER
Substitua PROJECT_NUMBER
pelo ID numérico do projeto de consumidor
em que você quer criar o agente de serviço.
Depois de criar o agente de serviço, conceda a ele os seguintes papéis:
- Agente de serviço do gerenciador de cargas de trabalho (
roles/workloadmanager.serviceAgent
): necessário nos projetos de destino. - Worker do gerenciador de cargas de trabalho (
roles/workloadmanager.worker
): necessário no projeto consumidor apenas se você definir uma frequência para a avaliação.
Para mais informações, consulte Conceder um papel ao agente de serviço.
Outras funções do Gerenciador de cargas de trabalho
Os usuários precisam de mais papéis do Gerenciador de cargas de trabalho para controlar o acesso a avaliações e recursos do Gerenciador de cargas de trabalho.
Para mais informações, consulte Workload Manager: controle de acesso com o IAM.