La solución de problemas de evaluación, como la falta de permisos de IAM o las notificaciones inhabilitadas, ayuda a garantizar que recibas alertas sobre las desviaciones de la carga de trabajo respecto de las prácticas recomendadas de seguridad y cumplimiento.
En este documento, se describe cómo resolver problemas habituales que pueden ocurrir con las evaluaciones del Gestor de cargas de trabajo.
Las notificaciones están inhabilitadas para la primera evaluación de un proyecto
Cuando creas la primera evaluación en un proyecto Google Cloud con Gestor de cargas de trabajo, es posible que observes que las casillas de verificación de notificación de eventos están inhabilitadas en la sección Notificaciones. También puedes ver el siguiente mensaje:
Selection unavailable until metrics exist in the current project.
Este problema ocurre porque la cuenta de servicio de Gestor de cargas de trabajo no tiene los permisos necesarios para enviar métricas a Cloud Monitoring en el proyecto desde el que ejecutas la evaluación.
Si estás creando la primera evaluación en un proyecto, crea la evaluación sin notificaciones de eventos. Si tienes al menos una evaluación en el proyecto, haz lo siguiente:
Autoriza a la cuenta de servicio de Gestor de cargas de trabajo para que envíe métricas a tu proyecto.
En el panel de navegación de la consola de Google Cloud , haz clic en IAM y administración y, luego, selecciona IAM:
Selecciona el proyecto en el que crearás la evaluación.
Para ver las cuentas de servicio administradas por Google en la página Permisos, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.
Busca la cuenta de servicio del Gestor de cargas de trabajo que tiene el siguiente formato:
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
Puedes encontrar el
PROJECT_NUMBERde tu proyecto de Google Cloud en la página Configuración del proyecto. Para obtener más información, consulta Identifica proyectos.Para modificar los roles de la cuenta de servicio, haz clic en Editar principal en la fila que contiene el nombre de la cuenta de servicio y, luego, en Agregar otro rol.
Si la cuenta de servicio no aparece en la página Permisos, ingresa su nombre de forma manual:
Haz clic en Otorgar acceso y, luego, ingresa la dirección de correo electrónico de la cuenta de servicio del Administrador de cargas de trabajo en el siguiente formato:
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com"
Haz clic en Selecciona un rol.
Asigna los siguientes roles a la cuenta de servicio:
- Consumidor de Service Usage (
roles/serviceusage.serviceUsageConsumer) - Escritor de métricas de Monitoring (
roles/monitoring.metricWriter)
- Consumidor de Service Usage (
Ejecuta una evaluación y espera a que se complete.
Una vez que se completa la evaluación, Gestor de cargas de trabajo envía métricas al proyecto y, luego, puedes establecer alertas para las evaluaciones.