Dokumen ini mencantumkan peran dan izin yang Anda perlukan di berbagai project untuk menggunakan evaluasi Workload Manager dan membuat akun layanan Workload Manager secara otomatis untuk menjalankan evaluasi.
Project Workload Manager
Evaluasi Workload Manager memindai resource di beberapa project yang disebut project target, tetapi evaluasi hanya disimpan dalam satu project yang disebut project konsumen.
Anda menggunakan project konsumen untuk mengakses Workload Manager di konsol Google Cloud, serta untuk membuat dan menjalankan evaluasi. Saat membuat evaluasi menggunakan konsol Google Cloud, di bagian Cakupan evaluasi dalam alur kerja, Anda menentukan project target yang menyimpan resource yang ingin dievaluasi.
Jika resource yang akan dievaluasi ada dalam project yang sama dengan tempat Anda membuat evaluasi Pengelola Beban Kerja, project konsumen juga dianggap sebagai salah satu project target Anda.
Ringkasan izin yang diperlukan untuk membuat dan menjalankan evaluasi
Tabel berikut meringkas izin yang diperlukan bagi pengguna dalam project konsumen dan target untuk membuat dan menjalankan evaluasi menggunakan Workload Manager. Untuk mendapatkan izin yang Anda perlukan, minta administrator untuk memberi Anda peran yang menyertakan izin yang diperlukan atau membuat peran khusus.
Tindakan | Project konsumen | Project target |
---|---|---|
Mengaktifkan Workload Manager API |
Izin: serviceusage.services.enable Peran bawaan yang menyertakan izin: roles/serviceusage.serviceUsageAdmin
|
Tidak ada |
Membuat evaluasi |
1. Izin untuk membuat akun layanan: resourcemanager.projects.setIamPolicy Peran standar yang menyertakan izin: roles/resourcemanager.projectIamAdmin
Hanya diperlukan saat Anda membuat evaluasi pertama.
2. Peran bawaan yang memberikan izin untuk membuat evaluasi: |
Izin untuk membuat akun layanan: resourcemanager.projects.setIamPolicy Peran standar yang menyertakan izin: roles/resourcemanager.projectIamAdmin
Hanya diperlukan saat Anda membuat evaluasi pertama. |
Menjalankan evaluasi |
Izin: workloadmanager.evaluations.run Peran bawaan yang menyertakan izin: roles/workloadmanager.evaluationAdmin
|
Tidak ada |
Melihat hasil evaluasi |
Izin: workloadmanager.results.list Peran bawaan yang menyertakan izin: roles/workloadmanager.evaluationAdmin atau roles/workloadmanager.evaluationViewer
|
Tidak ada |
Agen layanan Workload Manager
Workload Manager menggunakan agen layanan untuk mengontrol akses dan komunikasi antara resource dan project terkait.
Anda dapat menggunakan konsol Google Cloud atau Workload Manager API untuk mengevaluasi workload. Jika Anda menggunakan konsol Google Cloud, Workload Manager akan otomatis membuat semua agen layanan yang diperlukan. Jika menggunakan Workload Manager API, Anda harus membuat agen layanan secara manual.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan guna membuat agen layanan,
minta administrator untuk memberi Anda
peran IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin
) di setiap project target dalam cakupan.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin resourcemanager.projects.setIamPolicy
, yang diperlukan untuk membuat agen layanan.
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Membuat dan memberikan peran ke agen layanan
Konsol Google Cloud
Jika Anda menggunakan konsol Google Cloud untuk mengevaluasi beban kerja, Pengelola Beban Kerja akan otomatis membuat agen layanan di project konsumen.
Alamat email untuk agen layanan ini adalah
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
,
dan disebut Akun Layanan Pengelola Beban Kerja.
Agen layanan Workload Manager memerlukan peran berikut untuk menjalankan evaluasi. Jika diminta, berikan peran ini kepada agen layanan.
- Agen Layanan Workload Manager (
roles/workloadmanager.serviceAgent
): diperlukan di project target. - Pekerja Workload Manager (
roles/workloadmanager.worker
): diperlukan dalam project konsumen hanya jika Anda menetapkan frekuensi untuk evaluasi.
Workload Manager API
Jika menggunakan Workload Manager API untuk mengevaluasi beban kerja, Anda harus membuat agen layanan Workload Manager secara manual di project konsumen sebelum membuat evaluasi.
Untuk membuat agen layanan, gunakan perintah gcloud beta services identity create
:
gcloud beta services identity create --service=workloadmanager.googleapis.com \ --project=PROJECT_NUMBER
Ganti PROJECT_NUMBER
dengan ID numerik project konsumen tempat Anda ingin membuat agen layanan.
Setelah membuat agen layanan, Anda harus memberikan peran berikut kepada agen layanan:
- Agen Layanan Workload Manager (
roles/workloadmanager.serviceAgent
): diperlukan di project target. - Pekerja Workload Manager (
roles/workloadmanager.worker
): diperlukan dalam project konsumen hanya jika Anda menetapkan frekuensi untuk evaluasi.
Untuk mengetahui informasi selengkapnya, lihat Memberikan peran kepada agen layanan.
Peran Workload Manager tambahan
Pengguna memerlukan peran Workload Manager tambahan untuk mengontrol akses lebih lanjut ke evaluasi dan resource Workload Manager.
Untuk mengetahui informasi selengkapnya, lihat Workload Manager: Kontrol akses dengan IAM.