排解評估問題 (例如缺少 IAM 權限或停用通知),有助於確保您收到有關工作負載偏離安全性與法規遵循最佳做法的快訊。
本文說明如何解決 Workload Manager 評估作業的常見問題。
專案中的第一次評估會停用通知功能
在 Google Cloud 專案 中使用 Workload Manager 建立第一個評估作業時,您可能會發現「通知」專區中的事件通知核取方塊已停用。您也可能會看到下列訊息:
Selection unavailable until metrics exist in the current project.
發生這個問題的原因是,Workload Manager 服務帳戶沒有必要權限,無法將指標傳送至您執行評估作業的專案中的 Cloud Monitoring。
如果您要在專案中建立第一個評估作業,請建立評估作業,但不要設定事件通知。如果專案中至少有一項評估,請按照下列步驟操作:
授權 Workload Manager 服務帳戶將指標傳送至專案。
在 Google Cloud 控制台的導覽面板中,依序點選「IAM & Admin」(IAM 與管理) 和「IAM」(身分與存取權管理):
選取要建立評估的專案。
如要在「權限」頁面查看 Google 代管的服務帳戶,請勾選「包含 Google 提供的角色授權」核取方塊。
搜尋格式如下的 Workload Manager 服務帳戶:
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com
您可以在「專案設定」頁面中找到 Google Cloud 專案的
PROJECT_NUMBER。詳情請參閱「識別專案」。如要修改服務帳戶的角色,請在包含服務帳戶名稱的列中,按一下 「編輯主體」,然後按一下 「新增其他角色」。
如果服務帳戶未列在「權限」頁面上,請手動輸入服務帳戶名稱:
按一下「授予存取權」,然後輸入 Workload Manager 服務帳戶的電子郵件地址,格式如下:
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com"
按一下「選擇角色」。
將下列角色指派給服務帳戶:
- 服務使用情形用戶 (
roles/serviceusage.serviceUsageConsumer) - Monitoring 指標寫入者 (
roles/monitoring.metricWriter)
- 服務使用情形用戶 (
執行評估作業,並等待作業完成。
評估完成後,Workload Manager 會將指標傳送至專案,然後您就可以設定評估快訊。