Lorsque vous évaluez des charges de travail à l'aide de Workload Manager, vous inspectez les ressources d'infrastructure qui peuvent s'étendre sur plusieurs Google Cloud projets. Comprendre comment les rôles IAM sont répartis entre votre projet d'évaluation central et les projets hébergeant vos charges de travail vous permet d'accorder les autorisations minimales requises pour exécuter des évaluations de manière sécurisée.
Ce document explique les projets clients et cibles, et répertorie les rôles et les autorisations dont vous avez besoin pour créer et exécuter des évaluations Workload Manager.
Projets clients et cibles
Les évaluations du Workload Manager analysent les ressources de plusieurs projets appelés projets cibles, mais l'évaluation n'est stockée que dans un seul projet appelé projet client.
Vous utilisez le projet client pour accéder à Workload Manager dans la Google Cloud console, et pour créer et exécuter des évaluations. Lorsque vous créez une évaluation à l'aide de la Google Cloud console, dans la section Étendue de l'évaluation du workflow, vous spécifiez les projets cibles qui contiennent les ressources que vous souhaitez évaluer.
Si les ressources à évaluer sont présentes dans le même projet que celui dans lequel vous créez une évaluation Workload Manager, le projet client est également considéré comme l'un de vos projets cibles.
Résumé des autorisations requises pour créer et exécuter une évaluation
Le tableau suivant récapitule les autorisations requises pour que les utilisateurs des projets clients et cibles puissent créer et exécuter des évaluations à l'aide de Workload Manager. Pour obtenir l'autorisation dont vous avez besoin, demandez à votre administrateur de vous attribuer un rôle qui inclut l'autorisation requise ou créez un rôle personnalisé.
| Action | Projet client | Projet cible |
|---|---|---|
| Activer l'API Workload Manager |
Autorisation : serviceusage.services.enableRôle prédéfini qui inclut l'autorisation : roles/serviceusage.serviceUsageAdmin
|
Aucun |
| Créer une évaluation |
Autorisation de créer un compte de service : resourcemanager.projects.setIamPolicyRôle prédéfini qui inclut l'autorisation : roles/resourcemanager.projectIamAdmin
Requis uniquement lorsque vous créez la première évaluation.
Rôle prédéfini qui accorde l'autorisation de créer une évaluation :
Rôle prédéfini qui accorde l'autorisation de créer des notifications d'alerte : Pour créer une évaluation à l'aide de règles personnalisées, vous avez besoin des autorisations supplémentaires suivantes : Rôle prédéfini qui accorde l'autorisation de lire les données d'inventaire des éléments cloud : Rôle prédéfini qui accorde l'autorisation de lire les règles stockées dans un bucket Cloud Storage : Rôle prédéfini qui accorde l'autorisation d'écrire les résultats de l'évaluation dans un ensemble de données BigQuery : |
Autorisation de créer un compte de service : resourcemanager.projects.setIamPolicyRôle prédéfini qui inclut l'autorisation : roles/resourcemanager.projectIamAdmin
Requis uniquement lorsque vous créez la première évaluation. |
| Exécuter une évaluation |
Autorisation : workloadmanager.evaluations.runRôle prédéfini qui inclut l'autorisation : roles/workloadmanager.evaluationAdmin
|
Aucun |
| Afficher les résultats de l'évaluation |
Autorisation : workloadmanager.results.listRôle prédéfini qui inclut l'autorisation : roles/workloadmanager.evaluationAdminou roles/workloadmanager.evaluationViewer
|
Aucun |
Agents de service pour les évaluations
Workload Manager utilise des agents de service (roles/workloadmanager.serviceAgent et roles/workloadmanager.worker) pour analyser les ressources des projets cibles et exécuter les évaluations à partir des projets clients.
Pour découvrir comment Workload Manager crée automatiquement des agents de service ou comment les créer manuellement à l'aide de l'API Workload Manager, consultez la section Agents de service Workload Manager.
Rôles et autorisations supplémentaires
Pour obtenir la référence complète de tous les rôles et autorisations Workload Manager dans toutes les API, consultez la section Rôles et autorisations IAM Workload Manager.
Pour obtenir une présentation des stratégies d'autorisation IAM et de l'accès conditionnel dans Workload Manager, consultez la section Contrôle des accès avec IAM.