Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer Workload Manager pour l'utiliser avec VPC Service Controls

Cette page explique comment configurer des règles d'entrée et de sortie pour exécuter des évaluations Workload Manager dans des projets protégés par VPC Service Controls.

Lorsque vous exécutez des évaluations Workload Manager dans des projets protégés par VPC Service Controls, vous devez configurer des règles d'entrée et de sortie pour le compte de service associé à l'instance Compute Engine qui exécute votre Agent for Compute Workloads. Ces règles permettent au compte de service d'accéder aux API requises dans le périmètre VPC Service Controls. Si vous ne configurez pas ces règles, l'agent ne pourra pas envoyer de données à Workload Manager et vos évaluations échoueront.

Pour en savoir plus, consultez la présentation de VPC Service Controls.

Avant de commencer

Avant de configurer VPC Service Controls pour votre projet, procédez comme suit :

Configurez un périmètre VPC Service Controls.
Identifiez le compte de service associé à l'instance Compute Engine qui exécute votre Agent for Compute Workloads. Par exemple, sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com. Vous trouverez cette information sur la page Informations sur l'instance de VM de la console Google Cloud .
Vérifiez que le compte de service dispose des rôles requis. Par exemple, consultez Rôles requis pour l'agent et les charges de travail SAP.

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer Workload Manager afin de l'utiliser dans des périmètres VPC Service Controls, demandez à votre administrateur de vous accorder le rôle IAM Éditeur Access Context Manager (roles/accesscontextmanager.policyEditor) sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer des règles d'entrée et de sortie pour un périmètre de service

Pour permettre à l'Agent for Compute Workloads de communiquer avec les services requis, vous devez configurer des règles d'entrée et de sortie dans votre périmètre VPC Service Controls.

Pour savoir comment créer des règles d'entrée, consultez Configurer des règles d'entrée et de sortie.

Console

Dans la console Google Cloud , accédez à la page VPC Service Controls.

Accéder à la page VPC Service Controls
Sélectionnez votre projet.
Cliquez sur le nom du périmètre de service, puis sur Modifier.
Cliquez sur Règle d'entrée ou Règle de sortie.
Cliquez sur Ajouter une règle d'entrée.
Dans la section De, spécifiez l'identité de l'agent de service :
1. Pour Identités, sélectionnez Sélectionner des identités et des groupes.
2. Cliquez sur Ajouter des identités.
3. Saisissez l'adresse e-mail du compte de service de l'agent. Par exemple, sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.
Dans la section To (À), spécifiez les opérations autorisées :
1. Pour Ressources, sélectionnez Tous les projets.
2. Pour Opérations, sélectionnez Sélectionner des opérations.
3. Cliquez sur Ajouter des opérations, puis ajoutez les services suivants en sélectionnant Toutes les méthodes :
  - compute.googleapis.com
  - workloadmanager.googleapis.com
  - secretmanager.googleapis.com
Cliquez sur OK, puis sur Enregistrer.

gcloud

Pour ajouter la règle d'entrée, créez un fichier YAML contenant la règle d'entrée et utilisez la commande gcloud access-context-manager perimeters update avec l'indicateur --set-ingress-policies.

Créez un fichier YAML de règle d'entrée nommé ingress_policy.yaml avec le contenu suivant :

- ingressFrom:
    identities:
     - serviceAccount:SERVICE_ACCOUNT_EMAIL
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: workloadmanager.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Remplacez SERVICE_ACCOUNT_EMAIL par l'adresse e-mail du compte de service associé à l'instance Compute Engine qui exécute l'Agent for Compute Workloads.

Ajoutez la règle d'entrée au périmètre :
```
   gcloud access-context-manager perimeters update PERIMETER_NAME \
     --set-ingress-policies=ingress_policy.yaml
```
Remplacez PERIMETER_NAME par le nom de votre périmètre de service. Exemple :accessPolicies/1234567890/servicePerimeters/example_perimeter

Résoudre les problèmes de non-respect de VPC Service Controls

Pour afficher les cas de non-respect de VPC Service Controls dans votre projet et résoudre les problèmes, utilisez l'explorateur de journaux.

Pour en savoir plus, consultez Dépannage de VPC Service Controls.

Étapes suivantes

Créer et exécuter une évaluation