Ce document liste les rôles et les autorisations dont vous avez besoin sur différents projets pour utiliser l'évaluation du gestionnaire de charges de travail et créer automatiquement des comptes de service du gestionnaire de charges de travail pour exécuter l'évaluation.
Projets du gestionnaire de charges de travail
Les évaluations du Gestionnaire de charges de travail analysent les ressources de plusieurs projets appelés projets cibles, mais l'évaluation n'est stockée que dans un seul projet appelé projet client.
Vous utilisez le projet client pour accéder à Workload Manager dans la console Google Cloud, et pour créer et exécuter des évaluations. Lorsque vous créez une évaluation à l'aide de la console Google Cloud, dans la section Champ d'application de l'évaluation du workflow, vous spécifiez les projets cibles qui contiennent les ressources que vous souhaitez évaluer.
Si les ressources à évaluer sont présentes dans le même projet que celui dans lequel vous créez une évaluation du Gestionnaire de charge de travail, le projet client est également considéré comme l'un de vos projets cibles.
Résumé des autorisations requises pour créer et exécuter une évaluation
Le tableau suivant récapitule les autorisations requises pour que les utilisateurs des projets consommateurs et cibles puissent créer et exécuter des évaluations à l'aide de Workload Manager. Pour obtenir l'autorisation dont vous avez besoin, demandez à votre administrateur de vous attribuer un rôle qui inclut l'autorisation requise ou créez un rôle personnalisé.
| Action | Projet du client | Projet cible |
|---|---|---|
| Activer l'API Workload Manager |
Autorisation: serviceusage.services.enableRôle prédéfini incluant l'autorisation: roles/serviceusage.serviceUsageAdmin
|
Aucun |
| Créer une évaluation |
1. Autorisation de créer un compte de service: resourcemanager.projects.setIamPolicyRôle prédéfini incluant l'autorisation: roles/resourcemanager.projectIamAdmin
Obligatoire uniquement lorsque vous créez la première évaluation.
2. Rôle prédéfini qui accorde l'autorisation de créer une évaluation: |
Autorisation de créer un compte de service: resourcemanager.projects.setIamPolicyRôle prédéfini incluant l'autorisation: roles/resourcemanager.projectIamAdmin
Obligatoire uniquement lorsque vous créez la première évaluation. |
| Exécuter une évaluation |
Autorisation: workloadmanager.evaluations.runRôle prédéfini incluant l'autorisation: roles/workloadmanager.evaluationAdmin
|
Aucun |
| Afficher les résultats de l'évaluation |
Autorisation: workloadmanager.results.listRôle prédéfini incluant l'autorisation: roles/workloadmanager.evaluationAdminou roles/workloadmanager.evaluationViewer
|
Aucun |
Agents de service du gestionnaire de charges de travail
Workload Manager utilise des agents de service pour contrôler l'accès et la communication entre les ressources et les projets associés.
Vous pouvez utiliser la console Google Cloud ou l'API Workload Manager pour évaluer les charges de travail. Si vous utilisez la console Google Cloud, Workload Manager crée automatiquement tous les agents de service requis. Si vous utilisez l'API Workload Manager, vous devez créer manuellement les agents de service.
Rôles requis
Pour obtenir l'autorisation dont vous avez besoin pour créer un agent de service, demandez à votre administrateur de vous accorder le rôle IAM Administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) sur chaque projet cible concerné.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ce rôle prédéfini contient l'autorisation resourcemanager.projects.setIamPolicy, qui est requise pour créer un agent de service.
Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créer et attribuer des rôles aux agents de service
Console Google Cloud
Si vous utilisez la console Google Cloud pour évaluer les charges de travail, Workload Manager crée automatiquement des agents de service dans les projets consommateurs.
L'adresse e-mail de cet agent de service est service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com. Il s'agit du compte de service Workload Manager.
Les agents de service Workload Manager ont besoin des rôles suivants pour exécuter des évaluations. Si vous y êtes invité, attribuez ces rôles aux agents de service.
- Agent de service du gestionnaire de charges de travail (
roles/workloadmanager.serviceAgent): obligatoire dans les projets cibles. - Nœud de calcul du gestionnaire de charges de travail (
roles/workloadmanager.worker): obligatoire dans le projet client uniquement si vous définissez une fréquence pour l'évaluation.
API Workload Manager
Si vous utilisez l'API Workload Manager pour évaluer les charges de travail, vous devez créer manuellement l'agent de service Workload Manager dans les projets consommateurs avant de créer une évaluation.
Pour créer un agent de service, utilisez la commande gcloud beta services identity create:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Remplacez PROJECT_NUMBER par l'ID numérique du projet client dans lequel vous souhaitez créer l'agent de service.
Après avoir créé l'agent de service, vous devez lui attribuer les rôles suivants:
- Agent de service du gestionnaire de charges de travail (
roles/workloadmanager.serviceAgent): obligatoire dans les projets cibles. - Nœud de calcul du gestionnaire de charges de travail (
roles/workloadmanager.worker): obligatoire dans le projet client uniquement si vous définissez une fréquence pour l'évaluation.
Pour en savoir plus, consultez Attribuer un rôle à l'agent de service.
Autres rôles du gestionnaire de charges de travail
Les utilisateurs ont besoin de rôles Workload Manager supplémentaires pour contrôler l'accès aux évaluations et aux ressources Workload Manager.
Pour en savoir plus, consultez la section Workload Manager: Contrôle des accès avec IAM.