Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תפקידים והרשאות של IAM

במאמר הזה מפורטים התפקידים וההרשאות שנדרשים בפרויקטים שונים כדי להשתמש בהערכה של כלי לניהול עומס העבודה וכדי ליצור באופן אוטומטי חשבונות שירות של כלי לניהול עומס העבודה להפעלת ההערכה.

פרויקטים ב-Workload Manager

ההערכות של כלי לניהול עומס העבודה סורקות משאבים בכמה פרויקטים שנקראים פרויקטים של יעד, אבל ההערכה מאוחסנת רק בפרויקט אחד שנקרא פרויקט צרכן.

אתם משתמשים בפרויקט הצרכן כדי לגשת אל כלי לניהול עומס העבודה במסוףGoogle Cloud , וכדי ליצור ולהפעיל הערכות. כשיוצרים הערכה באמצעות מסוף Google Cloud , בקטע Evaluation scope בתהליך העבודה, מציינים את פרויקטי היעד שמכילים את המשאבים שרוצים להעריך.

אם המשאבים שרוצים להעריך נמצאים באותו פרויקט שבו יוצרים הערכה של כלי לניהול עומס העבודה, הפרויקט של הלקוח נחשב גם הוא לאחד מפרויקטי היעד.

סיכום ההרשאות שנדרשות ליצירה ולהרצה של הערכה

בטבלה הבאה מפורטות ההרשאות שנדרשות למשתמשים בפרויקטים של הצרכן והיעד כדי ליצור ולהריץ הערכות באמצעות כלי לניהול עומס העבודה. כדי לקבל את ההרשאה שדרושה, צריך לבקש מהאדמין להקצות לכם תפקיד שכולל את ההרשאה הנדרשת או ליצור תפקיד בהתאמה אישית.

פעולה	פרויקט צרכני	פרויקט היעד
הפעלת כלי לניהול עומס העבודה API	הרשאה: `serviceusage.services.enable` תפקיד מוגדר מראש שכולל את ההרשאה: `roles/serviceusage.serviceUsageAdmin`	ללא
יצירת הערכה	הרשאה ליצור חשבון שירות: `resourcemanager.projects.setIamPolicy` תפקיד מוגדר מראש שכולל את ההרשאה: `roles/resourcemanager.projectIamAdmin` חובה רק כשיוצרים את ההערכה הראשונה. תפקיד מוגדר מראש שמעניק הרשאה ליצור הערכה: `roles/workloadmanager.evaluationAdmin` תפקיד מוגדר מראש שמעניק הרשאה ליצור התראות: `roles/monitoring.metricWriter` כדי ליצור הערכה באמצעות כללים בהתאמה אישית, צריך את ההרשאות הנוספות הבאות: תפקיד מוגדר מראש שמעניק הרשאה לקרוא נתונים ממאגר משאבי הענן: `roles/cloudasset.owner` תפקיד מוגדר מראש שמעניק הרשאה לקרוא כללים שמאוחסנים בקטגוריה של Cloud Storage: `roles/storage.objectViewer` תפקיד מוגדר מראש שמעניק הרשאה לכתיבת תוצאות ההערכה למערך נתונים ב-BigQuery: ‏ `roles/bigquery.admin`	הרשאה ליצור חשבון שירות: `resourcemanager.projects.setIamPolicy` תפקיד מוגדר מראש שכולל את ההרשאה: `roles/resourcemanager.projectIamAdmin` חובה רק כשיוצרים את ההערכה הראשונה.
הרצת הערכה	הרשאה: `workloadmanager.evaluations.run` תפקיד מוגדר מראש שכולל את ההרשאה: `roles/workloadmanager.evaluationAdmin`	ללא
צפייה בתוצאות ההערכה	הרשאה: `workloadmanager.results.list` תפקיד מוגדר מראש שכולל את ההרשאה: `roles/workloadmanager.evaluationAdmin` או `roles/workloadmanager.evaluationViewer`	ללא

סוכני שירות של Workload Manager

כלי לניהול עומס העבודה משתמש בסוכני שירות כדי לשלוט בגישה ובתקשורת בין משאבים לבין הפרויקטים המשויכים.

אפשר להשתמש ב- Google Cloud console או ב-Workload Manager API כדי להעריך עומסי עבודה. אם אתם משתמשים ב- Google Cloud console, הכלי לניהול עומס העבודה יוצר באופן אוטומטי את כל סוכני השירות הנדרשים. אם משתמשים ב-Workload Manager API, צריך ליצור את סוכני השירות באופן ידני.

התפקידים הנדרשים

כדי לקבל את ההרשאה שנדרשת ליצירת סוכן שירות, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Project IAM Admin (roles/resourcemanager.projectIamAdmin) בכל פרויקט יעד בהיקף. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד המוגדר מראש הזה כולל את ההרשאה resourcemanager.projects.setIamPolicy, שנדרשת כדי ליצור סוכן שירות.

יכול להיות שתוכלו לקבל את ההרשאה הזו גם בתפקידים בהתאמה אישית או בתפקידים אחרים שמוגדרים מראש.

יצירת תפקידים ומתן תפקידים לסוכני שירות

מסוף Google Cloud

אם אתם משתמשים ב- Google Cloud console כדי להעריך עומסי עבודה, כלי לניהול עומס העבודה יוצר באופן אוטומטי סוכני שירות בפרויקטים של הצרכנים.

כתובת האימייל של סוכן השירות הזה היא service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com, והוא נקרא חשבון השירות של כלי לניהול עומס העבודה.

סוכני השירות של כלי לניהול עומס העבודה צריכים את התפקידים הבאים כדי להריץ הערכות. אם מתבקשים לעשות זאת, מעניקים את התפקידים האלה לסוכני השירות.

סוכן השירות של כלי לניהול עומס העבודה (roles/workloadmanager.serviceAgent): נדרש בפרויקטים של היעד.
‫Workload Manager Worker ‏ (roles/workloadmanager.worker): נדרש בפרויקט הצרכן רק אם מגדירים תדירות להערכה.

Workload Manager API

אם אתם משתמשים ב-Workload Manager API כדי להעריך עומסי עבודה, אתם צריכים ליצור באופן ידני את סוכן השירות של Workload Manager בפרויקטים של הצרכנים לפני שאתם יוצרים הערכה. כדי ליצור סוכן שירות, משתמשים בפקודה gcloud beta services identity create:

  gcloud beta services identity create --service=workloadmanager.googleapis.com  \
      --project=PROJECT_NUMBER

מחליפים את PROJECT_NUMBER במזהה המספרי של פרויקט הצרכן שבו רוצים ליצור את סוכן השירות.

אחרי שיוצרים את סוכן השירות, צריך להקצות לו את התפקידים הבאים:

סוכן השירות של כלי לניהול עומס העבודה (roles/workloadmanager.serviceAgent): נדרש בפרויקטים של היעד.
‫Workload Manager Worker ‏ (roles/workloadmanager.worker): נדרש בפרויקט הצרכן רק אם מגדירים תדירות להערכה.

מידע נוסף זמין במאמר איך מקצים תפקיד לסוכן שירות.

תפקידים נוספים בכלי לניהול עומס עבודה

משתמשים צריכים תפקידים נוספים בכלי לניהול עומס העבודה כדי לשלוט בגישה נוספת להערכות ולמשאבים של כלי לניהול עומס העבודה.

מידע נוסף זמין במאמר כלי לניהול עומס העבודה: בקרת גישה באמצעות IAM.

המאמרים הבאים

יצירה והפעלה של הערכה