Questo documento elenca i ruoli e le autorizzazioni necessari in progetti diversi per utilizzare la valutazione di Workload Manager e creare automaticamente account di servizio Workload Manager per eseguire la valutazione.
Progetti Workload Manager
Le valutazioni di Workload Manager analizzano le risorse di più progetti, chiamati progetti target, ma la valutazione viene archiviata in un solo progetto, chiamato progetto consumer.
Utilizza il progetto consumer per accedere a Workload Manager nella console Google Cloud e per creare ed eseguire valutazioni. Quando crei una valutazione utilizzando la console Google Cloud, nella sezione Ambito della valutazione del flusso di lavoro, specifichi i progetti di destinazione che contengono le risorse che vuoi valutare.
Se le risorse da valutare sono presenti nello stesso progetto in cui crei una valutazione di Workload Manager, anche il progetto consumer viene considerato uno dei tuoi progetti di destinazione.
Riepilogo delle autorizzazioni necessarie per creare ed eseguire una valutazione
La tabella seguente riassume le autorizzazioni richieste agli utenti dei progetti consumer e target per creare ed eseguire valutazioni utilizzando Workload Manager. Per ottenere l'autorizzazione di cui hai bisogno, chiedi all'amministratore di concederti un ruolo che includa l'autorizzazione richiesta o di creare un ruolo personalizzato.
| Azione | Progetto per i consumatori | Progetto di destinazione |
|---|---|---|
| Abilita l'API Workload Manager |
Autorizzazione: serviceusage.services.enableRuolo predefinito che include l'autorizzazione: roles/serviceusage.serviceUsageAdmin
|
Nessuno |
| Crea una valutazione |
1. Autorizzazione per creare un account di servizio: resourcemanager.projects.setIamPolicyRuolo predefinito che include l'autorizzazione: roles/resourcemanager.projectIamAdmin
Obbligatorio solo quando crei la prima valutazione.
2. Ruolo predefinito che concede l'autorizzazione per creare una valutazione: |
Autorizzazione per creare un account di servizio: resourcemanager.projects.setIamPolicyRuolo predefinito che include l'autorizzazione: roles/resourcemanager.projectIamAdmin
Obbligatorio solo quando crei la prima valutazione. |
| Eseguire una valutazione |
Autorizzazione: workloadmanager.evaluations.runRuolo predefinito che include l'autorizzazione: roles/workloadmanager.evaluationAdmin
|
Nessuno |
| Visualizza i risultati di una valutazione |
Autorizzazione: workloadmanager.results.listRuolo predefinito che include l'autorizzazione: roles/workloadmanager.evaluationAdminoppure roles/workloadmanager.evaluationViewer
|
Nessuno |
Agenti di servizio Workload Manager
Workload Manager utilizza agenti di servizio per controllare l'accesso e la comunicazione tra le risorse e i progetti associati.
Puoi utilizzare la console Google Cloud o l'API Workload Manager per valutare i carichi di lavoro. Se utilizzi la console Google Cloud, Workload Manager crea automaticamente tutti gli agenti di servizio richiesti. Se utilizzi l'API Workload Manager, devi creare manualmente gli agenti di servizio.
Ruoli obbligatori
Per ottenere l'autorizzazione necessaria per creare un agente di servizio,
chiedi all'amministratore di concederti il ruolo IAM Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) in ogni progetto target nell'ambito.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'autorizzazione
resourcemanager.projects.setIamPolicy
necessaria per
creare un agente di servizio.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Creare e concedere ruoli agli agenti di servizio
Console Google Cloud
Se utilizzi la console Google Cloud per valutare i carichi di lavoro, Workload Manager crea automaticamente gli agenti di servizio nei progetti dei consumatori.
L'indirizzo email di questo agente di servizio è
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
e si chiama Account di servizio Workload Manager.
Gli agenti di servizio Workload Manager richiedono i seguenti ruoli per eseguire le valutazioni. Se richiesto, concedi questi ruoli agli agenti di servizio.
- Workload Manager Service Agent (
roles/workloadmanager.serviceAgent): obbligatorio nei progetti di destinazione. - Workload Manager Worker (
roles/workloadmanager.worker): obbligatorio nel progetto consumer solo se imposti una frequenza per la valutazione.
API Workload Manager
Se utilizzi l'API Workload Manager per valutare i carichi di lavoro, devi creare manualmente l'agente di servizio Workload Manager nei progetti consumer prima di creare una valutazione.
Per creare un agente di servizio, utilizza il comando gcloud beta services identity create:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Sostituisci PROJECT_NUMBER con l'ID numerico del progetto consumer
in cui vuoi creare l'agente di servizio.
Dopo aver creato l'agente di servizio, devi concedergli i seguenti ruoli:
- Workload Manager Service Agent (
roles/workloadmanager.serviceAgent): obbligatorio nei progetti di destinazione. - Workload Manager Worker (
roles/workloadmanager.worker): obbligatorio nel progetto consumer solo se imposti una frequenza per la valutazione.
Per ulteriori informazioni, vedi Concedere un ruolo all'agente di servizio.
Altri ruoli di Workload Manager
Gli utenti richiedono ruoli aggiuntivi di Gestore workload per controllare ulteriormente l'accesso alle valutazioni e alle risorse di Gestore workload.
Per ulteriori informazioni, consulta Workload Manager: controllo dell'accesso con IAM.