En este documento, se enumeran los roles y permisos que necesitas en diferentes proyectos para usar la evaluación de Workload Manager y crear automáticamente cuentas de servicio de Workload Manager para ejecutar la evaluación.
Proyectos de Workload Manager
Las evaluaciones del Administrador de cargas de trabajo analizan recursos en varios proyectos, que se denominan proyectos de destino, pero la evaluación se almacena en un solo proyecto, denominado proyecto de consumidor.
Usas el proyecto de consumidor para acceder al Administrador de cargas de trabajo en la consola de Google Cloud y para crear y ejecutar evaluaciones. Cuando creas una evaluación con la consola de Google Cloud, en la sección Alcance de la evaluación del flujo de trabajo, especificas los proyectos de destino que contienen los recursos que deseas evaluar.
Si los recursos que se evaluarán están presentes en el mismo proyecto en el que creas una evaluación de Workload Manager, el proyecto de consumidor también se considera uno de tus proyectos de destino.
Resumen de los permisos necesarios para crear y ejecutar una evaluación
En la siguiente tabla, se resumen los permisos necesarios para que los usuarios de los proyectos de consumidor y de destino creen y ejecuten evaluaciones con el Administrador de cargas de trabajo. Para obtener el permiso que necesitas, pídele a tu administrador que te otorgue un rol que incluya el permiso requerido o crea un rol personalizado.
| Acción | Proyecto del consumidor | Proyecto de destino |
|---|---|---|
| Habilita la API de Workload Manager |
Permiso: serviceusage.services.enableRol predefinido que incluye el permiso: roles/serviceusage.serviceUsageAdmin
|
Ninguno |
| Crear una evaluación |
1. Permiso para crear una cuenta de servicio: resourcemanager.projects.setIamPolicyRol predefinido que incluye el permiso: roles/resourcemanager.projectIamAdmin
Solo es obligatorio cuando creas la primera evaluación.
2. Rol predefinido que otorga permiso para crear una evaluación: |
Permiso para crear una cuenta de servicio: resourcemanager.projects.setIamPolicyRol predefinido que incluye el permiso: roles/resourcemanager.projectIamAdmin
Solo es obligatorio cuando creas la primera evaluación. |
| Ejecuta una evaluación |
Permiso: workloadmanager.evaluations.runRol predefinido que incluye el permiso: roles/workloadmanager.evaluationAdmin
|
Ninguno |
| Visualiza los resultados de la evaluación |
Permiso: workloadmanager.results.listRol predefinido que incluye el permiso: roles/workloadmanager.evaluationAdmino roles/workloadmanager.evaluationViewer
|
Ninguno |
Agentes de servicio del Administrador de cargas de trabajo
Workload Manager usa agentes de servicio para controlar el acceso y la comunicación entre los recursos y los proyectos asociados.
Puedes usar la consola de Google Cloud o la API de Workload Manager para evaluar las cargas de trabajo. Si usas la consola de Google Cloud, Workload Manager crea automáticamente todos los agentes de servicio necesarios. Si usas la API de Workload Manager, debes crear los agentes de servicio de forma manual.
Roles obligatorios
Para obtener el permiso que necesitas para crear un agente de servicio, pídele a tu administrador que te otorgue el rol de IAM Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en cada proyecto de destino dentro del alcance.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene el permiso resourcemanager.projects.setIamPolicy, que se requiere para crear un agente de servicio.
También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Crea y otorga roles a los agentes de servicio
Consola de Google Cloud
Si usas la consola de Google Cloud para evaluar cargas de trabajo, Workload Manager crea agentes de servicio en los proyectos de consumidor automáticamente.
La dirección de correo electrónico de este agente de servicio es
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com,
y se llama Cuenta de servicio de Workload Manager.
Los agentes de servicio de Workload Manager requieren los siguientes roles para ejecutar evaluaciones. Si se te solicita, otorga estos roles a los agentes de servicio.
- Agente de servicio del Administrador de cargas de trabajo (
roles/workloadmanager.serviceAgent): obligatorio en los proyectos de destino. - Trabajador de Workload Manager (
roles/workloadmanager.worker): Es obligatorio en el proyecto de consumidor solo si estableces una frecuencia para la evaluación.
API de Workload Manager
Si usas la API de Workload Manager para evaluar cargas de trabajo, debes
crear manualmente el agente de servicio de Workload Manager en los proyectos
de consumidor antes de crear una evaluación.
Para crear un agente de servicio, usa el comando gcloud beta services identity create:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Reemplaza PROJECT_NUMBER por el ID numérico del proyecto de consumidor
en el que deseas crear el agente de servicio.
Después de crear el agente de servicio, debes otorgarle los siguientes roles:
- Agente de servicio del Administrador de cargas de trabajo (
roles/workloadmanager.serviceAgent): obligatorio en los proyectos de destino. - Trabajador de Workload Manager (
roles/workloadmanager.worker): Es obligatorio en el proyecto de consumidor solo si estableces una frecuencia para la evaluación.
Para obtener más información, consulta Otorga un rol al agente de servicio.
Roles adicionales de Workload Manager
Los usuarios requieren roles adicionales de Workload Manager para controlar el acceso adicional a las evaluaciones y los recursos de Workload Manager.
Para obtener más información, consulta Workload Manager: Control de acceso con IAM.