Papéis do IAM em projetos de consumo e de destino para avaliações

Ao avaliar cargas de trabalho usando o Gerenciador de cargas de trabalho, você inspeciona recursos de infraestrutura que podem abranger vários Google Cloud projetos. Entender como os papéis do IAM são divididos entre o projeto de avaliação central e os projetos que hospedam suas cargas de trabalho garante que você conceda as permissões mínimas necessárias para executar avaliações com segurança.

Este documento explica os projetos do consumidor e de destino e lista os papéis e as permissões necessários para criar e executar avaliações do Gerenciador de cargas de trabalho.

Projetos do consumidor e de destino

As avaliações do Workload Manager verificam recursos em vários projetos, chamados de projetos de destino, mas a avaliação é armazenada em apenas um projeto, chamado de projeto do consumidor.

Você usa o projeto do consumidor para acessar o Gerenciador de cargas de trabalho no Google Cloud console e para criar e executar avaliações. Ao criar uma avaliação usando o Google Cloud console, na seção Escopo da avaliação do fluxo de trabalho, especifique os projetos de destino que contêm os recursos que você quer avaliar.

Se os recursos a serem avaliados estiverem presentes no mesmo projeto em que você cria uma avaliação do Workload Manager, o projeto do consumidor também será considerado um dos projetos de destino.

Resumo das permissões necessárias para criar e executar uma avaliação

A tabela a seguir resume as permissões necessárias para que os usuários nos projetos do consumidor e de destino criem e executem avaliações usando o Workload Manager. Para receber a permissão necessária, peça ao administrador para conceder um papel que inclua a permissão necessária ou crie um papel personalizado.

Ação Projeto do consumidor Projeto de destino
Ativar a API Workload Manager Permissão:
serviceusage.services.enable

Papel predefinido que inclui a permissão:
roles/serviceusage.serviceUsageAdmin
Nenhum
Criar uma avaliação Permissão para criar uma conta de serviço:
resourcemanager.projects.setIamPolicy

Papel predefinido que inclui a permissão:
roles/resourcemanager.projectIamAdmin

Necessário apenas ao criar a primeira avaliação.

Papel predefinido que concede permissão para criar uma avaliação:
roles/workloadmanager.evaluationAdmin

Papel predefinido que concede permissão para criar notificações de alerta:
roles/monitoring.metricWriter

Para criar uma avaliação usando regras personalizadas, você precisa das seguintes permissões extras:

Papel predefinido que concede permissão para ler dados do Inventário de recursos do Cloud:
roles/cloudasset.owner

Papel predefinido que concede permissão para ler regras armazenadas em um bucket do Cloud Storage:
roles/storage.objectViewer

Papel predefinido que concede permissão para gravar resultados de avaliação em um conjunto de dados do BigQuery:
roles/bigquery.admin

Permissão para criar uma conta de serviço:
resourcemanager.projects.setIamPolicy

Papel predefinido que inclui a permissão:
roles/resourcemanager.projectIamAdmin

Necessário apenas ao criar a primeira avaliação.

Executar uma avaliação Permissão:
workloadmanager.evaluations.run

Papel predefinido que inclui a permissão:
roles/workloadmanager.evaluationAdmin

Nenhum

Visualizar os resultados da avaliação Permissão:
workloadmanager.results.list

Papel predefinido que inclui a permissão:
roles/workloadmanager.evaluationAdmin
ou
roles/workloadmanager.evaluationViewer
Nenhum

Agentes de serviço para avaliações

O Workload Manager usa agentes de serviço (roles/workloadmanager.serviceAgent e roles/workloadmanager.worker) para verificar recursos em projetos de destino e executar avaliações de projetos do consumidor.

Para saber como o Gerenciador de cargas de trabalho cria agentes de serviço automaticamente ou como criá-los manualmente usando a API Workload Manager, consulte Agentes de serviço do Gerenciador de cargas de trabalho.

Papéis e permissões extras

Para conferir a referência completa de todos os papéis e permissões do Gerenciador de cargas de trabalho em todas as APIs, consulte Papéis e permissões do IAM do Gerenciador de cargas de trabalho.

Para uma visão geral das políticas de permissão e do acesso condicional no Gerenciador de cargas de trabalho, consulte Controle de acesso com o IAM.

A seguir