Este documento lista os papéis e as permissões necessários em diferentes projetos para usar a avaliação do Workload Manager e criar automaticamente contas de serviço do Workload Manager para executar a avaliação.
Projetos do Workload Manager
As avaliações do Gerenciador de cargas de trabalho verificam recursos em vários projetos, chamados de projetos de destino, mas a avaliação é armazenada em apenas um projeto chamado projeto de consumidor.
Use o projeto do consumidor para acessar o Workload Manager no console do Google Cloud e criar e executar avaliações. Ao criar uma avaliação usando o console do Google Cloud, na seção Escopo da avaliação do fluxo de trabalho, você especifica os projetos de destino que contêm os recursos que você quer avaliar.
Se os recursos a serem avaliados estiverem presentes no mesmo projeto em que você cria uma avaliação do Workload Manager, o projeto consumidor também será considerado como um dos seus projetos de destino.
Resumo das permissões necessárias para criar e executar uma avaliação
A tabela a seguir resume as permissões necessárias para que os usuários nos projetos de consumidor e de destino criem e executem avaliações usando o Workload Manager. Para receber a permissão necessária, peça ao administrador para conceder a você um papel que inclua a permissão necessária ou crie um papel personalizado.
| Ação | Projeto do consumidor | Projeto de destino |
|---|---|---|
| Ativar a API Workload Manager |
Permissão: serviceusage.services.enablePapel predefinido que inclui a permissão: roles/serviceusage.serviceUsageAdmin
|
Nenhum |
| Criar uma avaliação |
1. Permissão para criar uma conta de serviço: resourcemanager.projects.setIamPolicyPapel predefinido que inclui a permissão: roles/resourcemanager.projectIamAdmin
Obrigatório apenas quando você cria a primeira avaliação.
2. Papel predefinido que concede permissão para criar uma avaliação: |
Permissão para criar uma conta de serviço: resourcemanager.projects.setIamPolicyPapel predefinido que inclui a permissão: roles/resourcemanager.projectIamAdmin
Obrigatório apenas quando você cria a primeira avaliação. |
| Execute uma avaliação. |
Permissão: workloadmanager.evaluations.runPapel predefinido que inclui a permissão: roles/workloadmanager.evaluationAdmin
|
Nenhum |
| Visualizar os resultados da avaliação |
Permissão: workloadmanager.results.listPapel predefinido que inclui a permissão: roles/workloadmanager.evaluationAdminou roles/workloadmanager.evaluationViewer
|
Nenhum |
Agentes de serviço do gerenciador de cargas de trabalho
O Workload Manager usa agentes de serviço para controlar o acesso e a comunicação entre os recursos e os projetos associados.
É possível usar o console do Google Cloud ou a API Workload Manager para avaliar cargas de trabalho. Se você usar o console do Google Cloud, o Workload Manager vai criar todos os agentes de serviço necessários automaticamente. Se você usar a API Workload Manager, vai precisar criar os agentes de serviço manualmente.
Funções exigidas
Para receber a permissão necessária para criar um agente de serviço,
peça ao administrador para conceder a você o
papel do IAM de Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) em cada projeto de destino no escopo.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém a
permissão
resourcemanager.projects.setIamPolicy,
que é necessária para
criar um agente de serviço.
Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.
Criar e conceder papéis a agentes de serviço
Console do Google Cloud
Se você usar o console do Google Cloud para avaliar as cargas de trabalho, o Workload Manager cria agentes de serviço nos projetos de consumidor automaticamente.
O endereço de e-mail desse agente de serviço é
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com,
e ele é chamado de conta de serviço do Workload Manager.
Os agentes de serviço do Workload Manager exigem os seguintes papéis para executar avaliações. Se solicitado, conceda esses papéis aos agentes de serviço.
- Agente de serviço do Workload Manager (
roles/workloadmanager.serviceAgent): obrigatório nos projetos de destino. - Worker do gerenciador de cargas de trabalho (
roles/workloadmanager.worker): obrigatório no projeto do consumidor somente se você definir uma frequência para a avaliação.
API Workload Manager
Se você usar a API Workload Manager para avaliar cargas de trabalho, será necessário
criar manualmente o agente de serviço do Workload Manager nos projetos
do consumidor antes de criar uma avaliação.
Para criar um agente de serviço, use o comando gcloud beta services identity create:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Substitua PROJECT_NUMBER pelo ID numérico do projeto de consumidor
em que você quer criar o agente de serviço.
Depois de criar o agente de serviço, conceda a ele os seguintes papéis:
- Agente de serviço do Workload Manager (
roles/workloadmanager.serviceAgent): obrigatório nos projetos de destino. - Worker do gerenciador de cargas de trabalho (
roles/workloadmanager.worker): obrigatório no projeto do consumidor somente se você definir uma frequência para a avaliação.
Para mais informações, consulte Conceder um papel ao agente de serviço.
Outros papéis do Workload Manager
Os usuários precisam de outros papéis do Workload Manager para controlar o acesso a avaliações e recursos do Workload Manager.
Para mais informações, consulte Gerenciador de cargas de trabalho: controle de acesso com o IAM.