IAM 権限がない場合や通知が無効になっている場合など、評価に関する問題のトラブルシューティングを行うことで、セキュリティとコンプライアンスのベスト プラクティスからのワークロードの逸脱に関するアラートを確実に受信できます。
このドキュメントでは、ワークロード マネージャーの評価で発生する可能性のある一般的な問題の解決方法について説明します。
プロジェクトの最初の評価で通知が無効になっている
Workload Manager を使用して Google Cloud プロジェクト で最初の評価を作成すると、イベント通知 チェックボックスが [通知] セクションで無効になっていることがあります。次のメッセージが表示されることもあります。
Selection unavailable until metrics exist in the current project.
この問題は、ワークロード マネージャー サービス アカウントに、評価を実行するプロジェクトの Cloud Monitoring に指標を送信するために必要な権限がないことが原因で発生します。
プロジェクトで最初の評価を作成する場合は、イベント通知なしで評価を作成します。プロジェクトに 1 つ以上の評価がある場合は、次の操作を行います。
Workload Manager サービス アカウントに、プロジェクトに指標を送信する権限を付与します。
コンソールのナビゲーション パネルで、 [IAM と管理] をクリックし、[IAM] を選択します。 Google Cloud
評価を作成するプロジェクトを選択します。
[**権限**] ページで Google 管理のサービス アカウントを表示するには、 [**Google 提供のロール付与を含める**] チェックボックスをオンにします。
次の形式の Workload Manager サービス アカウントを検索します。
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
プロジェクトの
PROJECT_NUMBERGoogle Cloud は、[プロジェクト設定] ページで確認できます。詳細については、プロジェクトの識別をご覧ください。サービス アカウントのロールを変更するには、サービス アカウント名を含む行で [**プリンシパルを編集**] をクリックし、 [**別のロールを追加**] をクリックします。
サービス アカウントが [権限] ページに表示されない場合は、サービス アカウント名を手動で入力します。
[Grant Access] をクリックし、ワークロード マネージャー サービス アカウントのメールアドレスを次の形式で入力します。
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com"
[ロールを選択] をクリックします。
サービス アカウントに次のロールを割り当てます。
- Service Usage コンシューマー(
roles/serviceusage.serviceUsageConsumer) - モニタリング指標の書き込み(
roles/monitoring.metricWriter)
- Service Usage コンシューマー(
評価を実行し、完了するまで待ちます。
評価が正常に完了すると、ワークロード マネージャーはプロジェクトに指標を送信し、評価のアラートを設定できるようになります。