Ao avaliar cargas de trabalho usando o Gerenciador de cargas de trabalho, você inspeciona recursos de infraestrutura que podem abranger vários Google Cloud projetos. Entender como os papéis do IAM são divididos entre o projeto de avaliação central e os projetos que hospedam suas cargas de trabalho garante que você conceda as permissões mínimas necessárias para executar avaliações com segurança.
Este documento explica os projetos do consumidor e de destino e lista os papéis e as permissões necessários para criar e executar avaliações do Gerenciador de cargas de trabalho.
Projetos do consumidor e de destino
As avaliações do Workload Manager verificam recursos em vários projetos, chamados de projetos de destino, mas a avaliação é armazenada em apenas um projeto, chamado de projeto do consumidor.
Você usa o projeto do consumidor para acessar o Gerenciador de cargas de trabalho no Google Cloud console e para criar e executar avaliações. Ao criar uma avaliação usando o Google Cloud console, na seção Escopo da avaliação do fluxo de trabalho, especifique os projetos de destino que contêm os recursos que você quer avaliar.
Se os recursos a serem avaliados estiverem presentes no mesmo projeto em que você cria uma avaliação do Workload Manager, o projeto do consumidor também será considerado um dos projetos de destino.
Resumo das permissões necessárias para criar e executar uma avaliação
A tabela a seguir resume as permissões necessárias para que os usuários nos projetos do consumidor e de destino criem e executem avaliações usando o Workload Manager. Para receber a permissão necessária, peça ao administrador para conceder um papel que inclua a permissão necessária ou crie um papel personalizado.
| Ação | Projeto do consumidor | Projeto de destino |
|---|---|---|
| Ativar a API Workload Manager |
Permissão: serviceusage.services.enablePapel predefinido que inclui a permissão: roles/serviceusage.serviceUsageAdmin
|
Nenhum |
| Criar uma avaliação |
Permissão para criar uma conta de serviço: resourcemanager.projects.setIamPolicyPapel predefinido que inclui a permissão: roles/resourcemanager.projectIamAdmin
Necessário apenas ao criar a primeira avaliação.
Papel predefinido que concede permissão para criar uma avaliação:
Papel predefinido que concede permissão para criar notificações de alerta: Para criar uma avaliação usando regras personalizadas, você precisa das seguintes permissões extras: Papel predefinido que concede permissão para ler dados do Inventário de recursos do Cloud: Papel predefinido que concede permissão para ler regras armazenadas em um bucket do Cloud Storage: Papel predefinido que concede permissão para gravar resultados de avaliação em um conjunto de dados do BigQuery: |
Permissão para criar uma conta de serviço: resourcemanager.projects.setIamPolicyPapel predefinido que inclui a permissão: roles/resourcemanager.projectIamAdmin
Necessário apenas ao criar a primeira avaliação. |
| Executar uma avaliação |
Permissão: workloadmanager.evaluations.runPapel predefinido que inclui a permissão: roles/workloadmanager.evaluationAdmin
|
Nenhum |
| Visualizar os resultados da avaliação |
Permissão: workloadmanager.results.listPapel predefinido que inclui a permissão: roles/workloadmanager.evaluationAdminou roles/workloadmanager.evaluationViewer
|
Nenhum |
Agentes de serviço para avaliações
O Workload Manager usa agentes de serviço (roles/workloadmanager.serviceAgent e roles/workloadmanager.worker) para verificar recursos em projetos de destino e executar avaliações de projetos do consumidor.
Para saber como o Gerenciador de cargas de trabalho cria agentes de serviço automaticamente ou como criá-los manualmente usando a API Workload Manager, consulte Agentes de serviço do Gerenciador de cargas de trabalho.
Papéis e permissões extras
Para conferir a referência completa de todos os papéis e permissões do Gerenciador de cargas de trabalho em todas as APIs, consulte Papéis e permissões do IAM do Gerenciador de cargas de trabalho.
Para uma visão geral das políticas de permissão e do acesso condicional no Gerenciador de cargas de trabalho, consulte Controle de acesso com o IAM.