Ruoli e autorizzazioni IAM

Questo documento elenca i ruoli e le autorizzazioni necessari in progetti diversi per utilizzare la valutazione di Workload Manager e creare automaticamente account di servizio Workload Manager per eseguire la valutazione.

Progetti Workload Manager

Le valutazioni di Workload Manager analizzano le risorse di più progetti, chiamati progetti target, ma la valutazione viene archiviata in un solo progetto, chiamato progetto consumer.

Utilizza il progetto consumer per accedere a Workload Manager nella console Google Cloud e per creare ed eseguire valutazioni. Quando crei una valutazione utilizzando la console Google Cloud, nella sezione Ambito della valutazione del flusso di lavoro, specifichi i progetti di destinazione che contengono le risorse che vuoi valutare.

Se le risorse da valutare sono presenti nello stesso progetto in cui crei una valutazione di Workload Manager, anche il progetto consumer viene considerato uno dei tuoi progetti di destinazione.

Riepilogo delle autorizzazioni necessarie per creare ed eseguire una valutazione

La tabella seguente riassume le autorizzazioni richieste agli utenti dei progetti consumer e target per creare ed eseguire valutazioni utilizzando Workload Manager. Per ottenere l'autorizzazione di cui hai bisogno, chiedi all'amministratore di concederti un ruolo che includa l'autorizzazione richiesta o di creare un ruolo personalizzato.

Azione Progetto per i consumatori Progetto di destinazione
Abilita l'API Workload Manager Autorizzazione:
serviceusage.services.enable

Ruolo predefinito che include l'autorizzazione:
roles/serviceusage.serviceUsageAdmin
Nessuno
Crea una valutazione 1. Autorizzazione per creare un account di servizio:
resourcemanager.projects.setIamPolicy

Ruolo predefinito che include l'autorizzazione:
roles/resourcemanager.projectIamAdmin

Obbligatorio solo quando crei la prima valutazione.

2. Ruolo predefinito che concede l'autorizzazione per creare una valutazione:
roles/workloadmanager.evaluationAdmin

Autorizzazione per creare un account di servizio:
resourcemanager.projects.setIamPolicy

Ruolo predefinito che include l'autorizzazione:
roles/resourcemanager.projectIamAdmin

Obbligatorio solo quando crei la prima valutazione.

Eseguire una valutazione Autorizzazione:
workloadmanager.evaluations.run

Ruolo predefinito che include l'autorizzazione:
roles/workloadmanager.evaluationAdmin

Nessuno

Visualizza i risultati di una valutazione Autorizzazione:
workloadmanager.results.list

Ruolo predefinito che include l'autorizzazione:
roles/workloadmanager.evaluationAdmin
oppure
roles/workloadmanager.evaluationViewer
Nessuno

Agenti di servizio Workload Manager

Workload Manager utilizza agenti di servizio per controllare l'accesso e la comunicazione tra le risorse e i progetti associati.

Puoi utilizzare la console Google Cloud o l'API Workload Manager per valutare i carichi di lavoro. Se utilizzi la console Google Cloud, Workload Manager crea automaticamente tutti gli agenti di servizio richiesti. Se utilizzi l'API Workload Manager, devi creare manualmente gli agenti di servizio.

Ruoli obbligatori

Per ottenere l'autorizzazione necessaria per creare un agente di servizio, chiedi all'amministratore di concederti il ruolo IAM Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) in ogni progetto target nell'ambito. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione resourcemanager.projects.setIamPolicy necessaria per creare un agente di servizio.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Creare e concedere ruoli agli agenti di servizio

Console Google Cloud

Se utilizzi la console Google Cloud per valutare i carichi di lavoro, Workload Manager crea automaticamente gli agenti di servizio nei progetti dei consumatori.

L'indirizzo email di questo agente di servizio è service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com e si chiama Account di servizio Workload Manager.

Gli agenti di servizio Workload Manager richiedono i seguenti ruoli per eseguire le valutazioni. Se richiesto, concedi questi ruoli agli agenti di servizio.

  • Workload Manager Service Agent (roles/workloadmanager.serviceAgent): obbligatorio nei progetti di destinazione.
  • Workload Manager Worker (roles/workloadmanager.worker): obbligatorio nel progetto consumer solo se imposti una frequenza per la valutazione.

API Workload Manager

Se utilizzi l'API Workload Manager per valutare i carichi di lavoro, devi creare manualmente l'agente di servizio Workload Manager nei progetti consumer prima di creare una valutazione. Per creare un agente di servizio, utilizza il comando gcloud beta services identity create:

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

Sostituisci PROJECT_NUMBER con l'ID numerico del progetto consumer in cui vuoi creare l'agente di servizio.

Dopo aver creato l'agente di servizio, devi concedergli i seguenti ruoli:

  • Workload Manager Service Agent (roles/workloadmanager.serviceAgent): obbligatorio nei progetti di destinazione.
  • Workload Manager Worker (roles/workloadmanager.worker): obbligatorio nel progetto consumer solo se imposti una frequenza per la valutazione.

Per ulteriori informazioni, vedi Concedere un ruolo all'agente di servizio.

Altri ruoli di Workload Manager

Gli utenti richiedono ruoli aggiuntivi di Gestore workload per controllare ulteriormente l'accesso alle valutazioni e alle risorse di Gestore workload.

Per ulteriori informazioni, consulta Workload Manager: controllo dell'accesso con IAM.

Passaggi successivi