Quando valuti i carichi di lavoro utilizzando Workload Manager, esamini le risorse dell'infrastruttura che potrebbero estendersi su più Google Cloud progetti. Comprendere come i ruoli IAM sono suddivisi tra il progetto di valutazione centrale e i progetti che ospitano i carichi di lavoro ti consente di concedere le autorizzazioni minime richieste per eseguire le valutazioni in modo sicuro.
Questo documento spiega i progetti consumer e di destinazione ed elenca i ruoli e le autorizzazioni necessari per creare ed eseguire le valutazioni di Workload Manager.
Progetti consumer e di destinazione
Le valutazioni di Workload Manager analizzano le risorse in più progetti, chiamati progetti di destinazione, ma la valutazione viene archiviata in un solo progetto chiamato progetto consumer.
Utilizza il progetto consumer per accedere a Workload Manager nella Google Cloud console e per creare ed eseguire le valutazioni. Quando crei una valutazione utilizzando la Google Cloud console, nella Ambito della valutazione sezione del flusso di lavoro, specifichi i progetti di destinazione che contengono le risorse che vuoi valutare.
Se le risorse da valutare sono presenti nello stesso progetto in cui crei una valutazione di Workload Manager, il progetto consumer viene considerato anche uno dei progetti di destinazione.
Riepilogo delle autorizzazioni richieste per creare ed eseguire una valutazione
La seguente tabella riassume le autorizzazioni richieste agli utenti nei progetti consumer e di destinazione per creare ed eseguire le valutazioni utilizzando Workload Manager. Per ottenere l'autorizzazione necessaria, chiedi all'amministratore di concederti un ruolo che includa l'autorizzazione richiesta o di creare un ruolo personalizzato.
| Azione | Progetto consumer | Progetto di destinazione |
|---|---|---|
| Abilita l'API Workload Manager |
Autorizzazione: serviceusage.services.enableRuolo predefinito che include l'autorizzazione: roles/serviceusage.serviceUsageAdmin
|
Nessuno |
| Crea una valutazione |
Autorizzazione per creare un account di servizio: resourcemanager.projects.setIamPolicyRuolo predefinito che include l'autorizzazione: roles/resourcemanager.projectIamAdmin
Richiesto solo quando crei la prima valutazione.
Ruolo predefinito che concede l'autorizzazione per creare una valutazione:
Ruolo predefinito che concede l'autorizzazione per creare notifiche di avviso: Per creare una valutazione utilizzando regole personalizzate, devi disporre delle seguenti autorizzazioni aggiuntive: Ruolo predefinito che concede l'autorizzazione per leggere i dati di Cloud Asset Inventory: Ruolo predefinito che concede l'autorizzazione per leggere le regole archiviate in un bucket Cloud Storage: Ruolo predefinito che concede l'autorizzazione per scrivere i risultati della valutazione in un set di dati BigQuery: |
Autorizzazione per creare un account di servizio: resourcemanager.projects.setIamPolicyRuolo predefinito che include l'autorizzazione: roles/resourcemanager.projectIamAdmin
Richiesto solo quando crei la prima valutazione. |
| Esegui una valutazione |
Autorizzazione: workloadmanager.evaluations.runRuolo predefinito che include l'autorizzazione: roles/workloadmanager.evaluationAdmin
|
Nessuno |
| Visualizza i risultati di una valutazione |
Autorizzazione: workloadmanager.results.listRuolo predefinito che include l'autorizzazione: roles/workloadmanager.evaluationAdminor roles/workloadmanager.evaluationViewer
|
Nessuno |
Service agent per le valutazioni
Workload Manager utilizza i service agent (roles/workloadmanager.serviceAgent e roles/workloadmanager.worker) per analizzare le risorse nei progetti di destinazione ed eseguire le valutazioni dai progetti consumer.
Per scoprire in che modo Workload Manager crea automaticamente i service agent o come crearli manualmente utilizzando l'API Workload Manager, consulta Service agent di Workload Manager.
Ruoli e autorizzazioni aggiuntivi
Per il riferimento completo di tutti i ruoli e le autorizzazioni di Workload Manager in tutte le API, consulta Ruoli e autorizzazioni IAM di Workload Manager.
Per una panoramica delle policy di autorizzazione IAM e dell'accesso condizionale in Workload Manager, consulta Controllo dell'accesso con IAM.