排查评估问题(例如缺少 IAM 权限或通知已停用)有助于确保您收到有关工作负载偏离安全和合规性最佳实践的提醒。
本文档介绍了如何解决 Workload Manager 评估可能出现的常见问题。
在项目的首次评估中,通知功能处于停用状态
当您使用 Workload Manager 在 Google Cloud 项目中创建第一个评估时,可能会注意到通知部分中的事件通知复选框处于停用状态。您还会看到以下消息:
Selection unavailable until metrics exist in the current project.
出现此问题的原因是,Workload Manager 服务账号缺少在运行评估的项目中向 Cloud Monitoring 发送指标所需的权限。
如果您要在项目中创建第一个评估,请创建不含事件通知的评估。如果项目中有至少一个评估,请执行以下操作:
授权 Workload Manager 服务账号向您的项目发送指标。
在 Google Cloud 控制台的导航面板中,依次点击 IAM 和管理和 IAM:
选择您要创建评估的项目。
如需在权限页面上查看 Google 代管式服务账号,请选中包括 Google 提供的角色授权复选框。
搜索具有以下格式的 Workload Manager 服务账号:
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
您可以在项目设置页面上找到 Google Cloud 项目的
PROJECT_NUMBER。 如需了解详情,请参阅标识项目。如需修改服务账号的角色,请点击包含服务账号名称的行中的 修改主账号,然后点击 添加其他角色。
如果服务账号未列在权限页面上,请手动输入服务账号名称:
点击 授予访问权限,然后按以下格式输入 Workload Manager 服务账号的电子邮件地址:
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com"
点击选择角色。
为服务账号分配以下角色:
- Service Usage Consumer (
roles/serviceusage.serviceUsageConsumer) - Monitoring Metric Writer (
roles/monitoring.metricWriter)
- Service Usage Consumer (
运行评估并等待完成。
成功完成评估后,Workload Manager 会将指标发送到项目,然后您可以为评估设置提醒。