Peran dan izin IAM

Dokumen ini mencantumkan peran dan izin yang Anda perlukan di berbagai project untuk menggunakan evaluasi Workload Manager dan membuat akun layanan Workload Manager secara otomatis untuk menjalankan evaluasi.

Project Workload Manager

Evaluasi Workload Manager memindai resource di beberapa project yang disebut project target, tetapi evaluasi hanya disimpan dalam satu project yang disebut project konsumen.

Anda menggunakan project konsumen untuk mengakses Workload Manager di konsol Google Cloud, serta untuk membuat dan menjalankan evaluasi. Saat membuat evaluasi menggunakan konsol Google Cloud, di bagian Cakupan evaluasi dalam alur kerja, Anda menentukan project target yang menyimpan resource yang ingin dievaluasi.

Jika resource yang akan dievaluasi ada dalam project yang sama dengan tempat Anda membuat evaluasi Pengelola Beban Kerja, project konsumen juga dianggap sebagai salah satu project target Anda.

Ringkasan izin yang diperlukan untuk membuat dan menjalankan evaluasi

Tabel berikut meringkas izin yang diperlukan bagi pengguna dalam project konsumen dan target untuk membuat dan menjalankan evaluasi menggunakan Workload Manager. Untuk mendapatkan izin yang Anda perlukan, minta administrator untuk memberi Anda peran yang menyertakan izin yang diperlukan atau membuat peran khusus.

Tindakan Project konsumen Project target
Mengaktifkan Workload Manager API Izin:
serviceusage.services.enable

Peran bawaan yang menyertakan izin:
roles/serviceusage.serviceUsageAdmin
Tidak ada
Membuat evaluasi 1. Izin untuk membuat akun layanan:
resourcemanager.projects.setIamPolicy

Peran standar yang menyertakan izin:
roles/resourcemanager.projectIamAdmin

Hanya diperlukan saat Anda membuat evaluasi pertama.

2. Peran bawaan yang memberikan izin untuk membuat evaluasi:
roles/workloadmanager.evaluationAdmin

Izin untuk membuat akun layanan:
resourcemanager.projects.setIamPolicy

Peran standar yang menyertakan izin:
roles/resourcemanager.projectIamAdmin

Hanya diperlukan saat Anda membuat evaluasi pertama.

Menjalankan evaluasi Izin:
workloadmanager.evaluations.run

Peran bawaan yang menyertakan izin:
roles/workloadmanager.evaluationAdmin

Tidak ada

Melihat hasil evaluasi Izin:
workloadmanager.results.list

Peran bawaan yang menyertakan izin:
roles/workloadmanager.evaluationAdmin
atau
roles/workloadmanager.evaluationViewer
Tidak ada

Agen layanan Workload Manager

Workload Manager menggunakan agen layanan untuk mengontrol akses dan komunikasi antara resource dan project terkait.

Anda dapat menggunakan konsol Google Cloud atau Workload Manager API untuk mengevaluasi workload. Jika Anda menggunakan konsol Google Cloud, Workload Manager akan otomatis membuat semua agen layanan yang diperlukan. Jika menggunakan Workload Manager API, Anda harus membuat agen layanan secara manual.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat agen layanan, minta administrator untuk memberi Anda peran IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) di setiap project target dalam cakupan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin resourcemanager.projects.setIamPolicy, yang diperlukan untuk membuat agen layanan.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat dan memberikan peran ke agen layanan

Konsol Google Cloud

Jika Anda menggunakan konsol Google Cloud untuk mengevaluasi beban kerja, Pengelola Beban Kerja akan otomatis membuat agen layanan di project konsumen.

Alamat email untuk agen layanan ini adalah service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com, dan disebut Akun Layanan Pengelola Beban Kerja.

Agen layanan Workload Manager memerlukan peran berikut untuk menjalankan evaluasi. Jika diminta, berikan peran ini kepada agen layanan.

  • Agen Layanan Workload Manager (roles/workloadmanager.serviceAgent): diperlukan di project target.
  • Pekerja Workload Manager (roles/workloadmanager.worker): diperlukan dalam project konsumen hanya jika Anda menetapkan frekuensi untuk evaluasi.

Workload Manager API

Jika menggunakan Workload Manager API untuk mengevaluasi beban kerja, Anda harus membuat agen layanan Workload Manager secara manual di project konsumen sebelum membuat evaluasi. Untuk membuat agen layanan, gunakan perintah gcloud beta services identity create:

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

Ganti PROJECT_NUMBER dengan ID numerik project konsumen tempat Anda ingin membuat agen layanan.

Setelah membuat agen layanan, Anda harus memberikan peran berikut kepada agen layanan:

  • Agen Layanan Workload Manager (roles/workloadmanager.serviceAgent): diperlukan di project target.
  • Pekerja Workload Manager (roles/workloadmanager.worker): diperlukan dalam project konsumen hanya jika Anda menetapkan frekuensi untuk evaluasi.

Untuk mengetahui informasi selengkapnya, lihat Memberikan peran kepada agen layanan.

Peran Workload Manager tambahan

Pengguna memerlukan peran Workload Manager tambahan untuk mengontrol akses lebih lanjut ke evaluasi dan resource Workload Manager.

Untuk mengetahui informasi selengkapnya, lihat Workload Manager: Kontrol akses dengan IAM.

Langkah selanjutnya