IAM-Rollen und -Berechtigungen

In diesem Dokument sind die Rollen und Berechtigungen aufgeführt, die Sie für verschiedene Projekte benötigen, um die Workload Manager-Bewertung zu verwenden und automatisch Workload Manager-Dienstkonten zum Ausführen der Bewertung zu erstellen.

Workload Manager-Projekte

Bei Bewertungen des Arbeitslastmanagers werden Ressourcen in mehreren Projekten gescannt, die als Zielprojekte bezeichnet werden. Die Bewertung wird jedoch nur in einem Projekt gespeichert, das als Nutzerprojekt bezeichnet wird.

Über das Nutzerprojekt greifen Sie in der Google Cloud Console auf den Workload Manager zu und erstellen und führen Bewertungen aus. Wenn Sie eine Bewertung mit der Google Cloud Console erstellen, geben Sie im Abschnitt Umfang der Bewertung des Workflows die Zielprojekte an, die die zu bewertenden Ressourcen enthalten.

Wenn sich die zu bewertenden Ressourcen im selben Projekt befinden, in dem Sie eine Workload Manager-Bewertung erstellen, wird das Nutzerprojekt auch als eines Ihrer Zielprojekte betrachtet.

Zusammenfassung der erforderlichen Berechtigungen zum Erstellen und Ausführen einer Bewertung

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die Nutzer in den Nutzer- und Zielprojekten benötigen, um mit dem Workload Manager Bewertungen zu erstellen und auszuführen. Bitten Sie Ihren Administrator, Ihnen eine Rolle zuzuweisen, die die erforderliche Berechtigung enthält, oder erstellen Sie eine benutzerdefinierte Rolle.

Aktion Verbraucherprojekt Zielprojekt
Workload Manager API aktivieren Berechtigung:
serviceusage.services.enable

Vordefinierte Rolle mit der Berechtigung:
roles/serviceusage.serviceUsageAdmin
Keine
Bewertung erstellen 1. Berechtigung zum Erstellen eines Dienstkontos:
resourcemanager.projects.setIamPolicy

Vordefinierte Rolle mit der Berechtigung:
roles/resourcemanager.projectIamAdmin

Nur erforderlich, wenn Sie die erste Bewertung erstellen.

2. Vordefinierte Rolle, die die Berechtigung zum Erstellen einer Bewertung gewährt:
roles/workloadmanager.evaluationAdmin

Berechtigung zum Erstellen eines Dienstkontos:
resourcemanager.projects.setIamPolicy

Vordefinierte Rolle mit der Berechtigung:
roles/resourcemanager.projectIamAdmin

Nur erforderlich, wenn Sie die erste Bewertung erstellen.

Bewertung ausführen Berechtigung:
workloadmanager.evaluations.run

Vordefinierte Rolle mit der Berechtigung:
roles/workloadmanager.evaluationAdmin

Keine

Bewertungsergebnisse ansehen Berechtigung:
workloadmanager.results.list

Vordefinierte Rolle mit der Berechtigung:
roles/workloadmanager.evaluationAdmin
oder
roles/workloadmanager.evaluationViewer
Keine

Dienst-Agenten des Arbeitslastmanagers

Workload Manager verwendet Dienst-Agenten, um den Zugriff und die Kommunikation zwischen Ressourcen und den zugehörigen Projekten zu steuern.

Sie können die Google Cloud Console oder die Workload Manager API verwenden, um Arbeitslasten zu bewerten. Wenn Sie die Google Cloud Console verwenden, erstellt Workload Manager alle erforderlichen Dienst-Agents automatisch. Wenn Sie die Workload Manager API verwenden, müssen Sie die Dienst-Agents manuell erstellen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen für jedes Zielprojekt die IAM-Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) zuzuweisen, um die Berechtigung zum Erstellen eines Dienstmitarbeiters zu erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung resourcemanager.projects.setIamPolicy, die zum Erstellen eines Dienst-Agents erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen für Dienst-Agents erstellen und zuweisen

Google Cloud Console

Wenn Sie die Google Cloud Console zur Auswertung von Arbeitslasten verwenden, erstellt Workload Manager automatisch Dienstmitarbeiter in den Nutzerprojekten.

Die E-Mail-Adresse für diesen Dienst-Agent lautet service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com und er heißt „Workload Manager-Dienstkonto“.

Workload Manager-Dienstmitarbeiter benötigen die folgenden Rollen, um Bewertungen auszuführen. Weisen Sie den Kundenservicemitarbeitern diese Rollen zu, wenn Sie dazu aufgefordert werden.

  • Dienst-Agent des Arbeitslastmanagers (roles/workloadmanager.serviceAgent): Erforderlich in den Zielprojekten.
  • Workload Manager Worker (roles/workloadmanager.worker): Nur im Nutzerprojekt erforderlich, wenn Sie eine Häufigkeit für die Bewertung festlegen.

Workload Manager API

Wenn Sie die Workload Manager API zum Bewerten von Arbeitslasten verwenden, müssen Sie den Workload Manager-Dienst-Agenten manuell in den Nutzerprojekten erstellen, bevor Sie eine Bewertung erstellen. Verwenden Sie den Befehl gcloud beta services identity create, um einen Dienstmitarbeiter zu erstellen:

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

Ersetzen Sie PROJECT_NUMBER durch die numerische ID des Nutzerprojekts, in dem Sie den Kundenservicemitarbeiter erstellen möchten.

Nachdem Sie den Dienst-Agenten erstellt haben, müssen Sie ihm die folgenden Rollen zuweisen:

  • Dienst-Agent des Arbeitslastmanagers (roles/workloadmanager.serviceAgent): Erforderlich in den Zielprojekten.
  • Workload Manager Worker (roles/workloadmanager.worker): Nur im Verbraucherprojekt erforderlich, wenn Sie eine Häufigkeit für die Bewertung festlegen.

Weitere Informationen finden Sie unter Dem Dienst-Agenten eine Rolle zuweisen.

Zusätzliche Arbeitslastmanager-Rollen

Nutzer benötigen zusätzliche Rollen für den Arbeitslastmanager, um den Zugriff auf Bewertungen und Ressourcen des Arbeitslastmanagers zu steuern.

Weitere Informationen finden Sie unter Workload Manager: Zugriffssteuerung mit IAM.

Nächste Schritte