Cuando evalúas cargas de trabajo con Workload Manager, inspeccionas recursos de infraestructura que pueden abarcar varios proyectos de Google Cloud . Comprender cómo se dividen los roles de IAM entre tu proyecto de evaluación central y los proyectos que alojan tus cargas de trabajo garantiza que otorgues los permisos mínimos necesarios para ejecutar evaluaciones de forma segura.
En este documento, se explican los proyectos de consumidor y de destino, y se enumeran los roles y permisos que necesitas para crear y ejecutar evaluaciones del Gestor de cargas de trabajo.
Proyectos de consumidor y de destino
Las evaluaciones del Gestor de cargas de trabajo analizan recursos en varios proyectos, que se denominan proyectos de destino, pero la evaluación se almacena en un solo proyecto, que se denomina proyecto de consumidor.
Usas el proyecto del consumidor para acceder a Gestor de cargas de trabajo en la consola de Google Cloud y para crear y ejecutar evaluaciones. Cuando creas una evaluación con la consola de Google Cloud , en la sección Alcance de la evaluación del flujo de trabajo, especificas los proyectos objetivo que contienen los recursos que deseas evaluar.
Si los recursos que se evaluarán están presentes en el mismo proyecto en el que creas una evaluación de Gestor de cargas de trabajo, el proyecto del consumidor también se considera uno de tus proyectos objetivo.
Resumen de los permisos necesarios para crear y ejecutar una evaluación
En la siguiente tabla, se resumen los permisos necesarios para que los usuarios de los proyectos de consumidor y de destino creen y ejecuten evaluaciones con Gestor de cargas de trabajo. Para obtener el permiso que necesitas, pídele a tu administrador que te otorgue un rol que incluya el permiso requerido o que cree un rol personalizado.
| Acción | Proyecto del consumidor | Proyecto de destino |
|---|---|---|
| Habilita la API de Gestor de cargas de trabajo |
Permiso: serviceusage.services.enableRol predefinido que incluye el permiso: roles/serviceusage.serviceUsageAdmin
|
Ninguno |
| Crear una evaluación |
Permiso para crear una cuenta de servicio: resourcemanager.projects.setIamPolicyRol predefinido que incluye el permiso: roles/resourcemanager.projectIamAdmin
Solo se requiere cuando creas la primera evaluación.
Rol predefinido que otorga permiso para crear una evaluación:
Rol predefinido que otorga permiso para crear notificaciones de alertas: Para crear una evaluación con reglas personalizadas, necesitas los siguientes permisos adicionales: Rol predefinido que otorga permiso para leer datos de Cloud Asset Inventory: Rol predefinido que otorga permiso para leer las reglas almacenadas en un bucket de Cloud Storage: Rol predefinido que otorga permiso para escribir resultados de la evaluación en un conjunto de datos de BigQuery: |
Permiso para crear una cuenta de servicio: resourcemanager.projects.setIamPolicyRol predefinido que incluye el permiso: roles/resourcemanager.projectIamAdmin
Solo se requiere cuando creas la primera evaluación. |
| Ejecutar una evaluación |
Permiso: workloadmanager.evaluations.runRol predefinido que incluye el permiso: roles/workloadmanager.evaluationAdmin
|
Ninguno |
| Visualiza los resultados de la evaluación |
Permiso: workloadmanager.results.listRol predefinido que incluye el permiso: roles/workloadmanager.evaluationAdmino roles/workloadmanager.evaluationViewer
|
Ninguno |
Agentes de servicio para evaluaciones
Gestor de cargas de trabajo usa agentes de servicio (roles/workloadmanager.serviceAgent y roles/workloadmanager.worker) para analizar los recursos en los proyectos de destino y ejecutar evaluaciones desde los proyectos de consumidor.
Para obtener información sobre cómo Gestor de cargas de trabajo crea agentes de servicio automáticamente o cómo crearlos de forma manual con la API de Gestor de cargas de trabajo, consulta Agentes de servicio de Gestor de cargas de trabajo.
Funciones y permisos adicionales
Para obtener la referencia completa de todos los roles y permisos de Gestor de cargas de trabajo en todas las APIs, consulta Roles y permisos de IAM de Gestor de cargas de trabajo.
Para obtener una descripción general de las políticas de permisos de IAM y el acceso condicional en Gestor de cargas de trabajo, consulta Control de acceso con IAM.