Questo documento elenca i ruoli e le autorizzazioni necessari per diversi progetti per utilizzare la valutazione di Workload Manager e per creare automaticamente service account Workload Manager per l'esecuzione della valutazione.
Progetti Workload Manager
Le valutazioni di Workload Manager analizzano le risorse in più progetti, chiamati progetti di destinazione, ma la valutazione viene archiviata in un solo progetto chiamato progetto consumer.
Utilizzi il progetto consumer per accedere a Workload Manager nella consoleGoogle Cloud e per creare ed eseguire valutazioni. Quando crei una valutazione utilizzando la console Google Cloud , nella sezione Ambito di valutazione del flusso di lavoro, specifichi i progetti di destinazione che contengono le risorse che vuoi valutare.
Se le risorse da valutare sono presenti nello stesso progetto in cui crei una valutazione di Workload Manager, anche il progetto consumer viene considerato uno dei tuoi progetti di destinazione.
Riepilogo delle autorizzazioni richieste per creare ed eseguire una valutazione
La tabella seguente riassume le autorizzazioni necessarie agli utenti nei progetti consumer e di destinazione per creare ed eseguire valutazioni utilizzando Workload Manager. Per ottenere l'autorizzazione necessaria, chiedi all'amministratore di concederti un ruolo che includa l'autorizzazione richiesta o crea un ruolo personalizzato.
| Azione | Progetto consumer | Progetto di destinazione |
|---|---|---|
| Abilita l'API Workload Manager |
Autorizzazione: serviceusage.services.enableRuolo predefinito che include l'autorizzazione: roles/serviceusage.serviceUsageAdmin
|
Nessuno |
| Crea una valutazione |
Autorizzazione per creare un account di servizio: resourcemanager.projects.setIamPolicyRuolo predefinito che include l'autorizzazione: roles/resourcemanager.projectIamAdmin
Obbligatorio solo quando crei la prima valutazione.
Ruolo predefinito che concede l'autorizzazione per creare una valutazione:
Ruolo predefinito che concede l'autorizzazione per creare notifiche di avviso: Per creare una valutazione utilizzando regole personalizzate, devi disporre delle seguenti autorizzazioni aggiuntive: Ruolo predefinito che concede l'autorizzazione a leggere i dati di Cloud Asset Inventory: Ruolo predefinito che concede l'autorizzazione a leggere le regole archiviate in un bucket Cloud Storage: Ruolo predefinito che concede l'autorizzazione per scrivere i risultati della valutazione in un set di dati BigQuery: |
Autorizzazione per creare un account di servizio: resourcemanager.projects.setIamPolicyRuolo predefinito che include l'autorizzazione: roles/resourcemanager.projectIamAdmin
Obbligatorio solo quando crei la prima valutazione. |
| Esegui una valutazione |
Autorizzazione: workloadmanager.evaluations.runRuolo predefinito che include l'autorizzazione: roles/workloadmanager.evaluationAdmin
|
Nessuno |
| Visualizza i risultati di una valutazione |
Autorizzazione: workloadmanager.results.listRuolo predefinito che include l'autorizzazione: roles/workloadmanager.evaluationAdmino roles/workloadmanager.evaluationViewer
|
Nessuno |
Service agent di Workload Manager
Workload Manager utilizza service agent per controllare l'accesso e la comunicazione tra le risorse e i progetti associati.
Puoi utilizzare Google Cloud console o l'API Workload Manager per valutare i carichi di lavoro. Se utilizzi Google Cloud console, Workload Manager crea automaticamente tutti gli agenti di servizio richiesti. Se utilizzi l'API Workload Manager, devi creare manualmente gli agenti di servizio.
Ruoli obbligatori
Per ottenere l'autorizzazione necessaria per creare un service agent, chiedi all'amministratore di concederti il ruolo IAM Project IAM Admin (roles/resourcemanager.projectIamAdmin) su ogni progetto di destinazione nell'ambito.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene l'autorizzazione
resourcemanager.projects.setIamPolicy
necessaria per
creare un service agent.
Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Creare e concedere ruoli agli agenti di servizio
Console Google Cloud
Se utilizzi Google Cloud console per valutare i carichi di lavoro, Workload Manager crea automaticamente i service agent nei progetti consumer.
L'indirizzo email di questo service agent è
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com,
e si chiama service account Gestore workload.
I service agent Workload Manager richiedono i seguenti ruoli per eseguire le valutazioni. Se richiesto, concedi questi ruoli ai service agent.
- Service agent Workload Manager (
roles/workloadmanager.serviceAgent): richiesto nei progetti di destinazione. - Workload Manager Worker (
roles/workloadmanager.worker): richiesto nel progetto consumer solo se imposti una frequenza per la valutazione.
API Workload Manager
Se utilizzi l'API Workload Manager per valutare i carichi di lavoro, devi creare manualmente il service agent Workload Manager nei progetti consumer prima di creare una valutazione.
Per creare un service agent, utilizza il comando gcloud beta services identity create:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Sostituisci PROJECT_NUMBER con l'ID numerico del progetto consumer
in cui vuoi creare l'agente di servizio.
Dopo aver creato il service agent, devi concedergli i seguenti ruoli:
- Service agent Workload Manager (
roles/workloadmanager.serviceAgent): richiesto nei progetti di destinazione. - Workload Manager Worker (
roles/workloadmanager.worker): richiesto nel progetto consumer solo se imposti una frequenza per la valutazione.
Per saperne di più, vedi Concedere un ruolo all'agente di servizio.
Ruoli aggiuntivi di Workload Manager
Gli utenti richiedono ruoli Workload Manager aggiuntivi per controllare ulteriormente l'accesso alle valutazioni e alle risorse di Workload Manager.
Per saperne di più, consulta Workload Manager: controllo dell'accesso con IAM.