Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurar o Workload Manager para usar com o VPC Service Controls

Esta página descreve como configurar regras de entrada e saída para executar avaliações do Workload Manager em projetos protegidos com o VPC Service Controls.

Ao executar avaliações do Workload Manager em projetos protegidos pelo VPC Service Controls, é necessário configurar regras de entrada e saída para a conta de serviço anexada à instância do Compute Engine que executa o Agente para cargas de trabalho computacionais. Essas regras permitem que a conta de serviço acesse as APIs necessárias no perímetro do VPC Service Controls. Se você não configurar essas regras, o agente não poderá enviar dados ao Workload Manager, e as avaliações vão falhar.

Para mais informações, consulte Visão geral do VPC Service Controls.

Antes de começar

Antes de configurar o VPC Service Controls para seu projeto, faça o seguinte:

Configure um perímetro do VPC Service Controls.
Identifique a conta de serviço anexada à instância do Compute Engine que executa o Agente para cargas de trabalho computacionais. Por exemplo, sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com. Você pode encontrar essa informação na página Detalhes da instância de VM no Google Cloud console do.
Verifique se a conta de serviço tem os papéis necessários. Por exemplo, consulte Papéis necessários para o agente e cargas de trabalho SAP.

Funções exigidas

Para receber as permissões necessárias para configurar o Workload Manager para uso em perímetros do VPC Service Controls, peça ao administrador para conceder a você o papel do IAM de Editor do Access Context Manager (roles/accesscontextmanager.policyEditor) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Criar regras de entrada e saída para um perímetro de serviço

Para permitir que o Agente para cargas de trabalho computacionais se comunique com os serviços necessários, é necessário configurar regras de entrada e saída no perímetro do VPC Service Controls.

Para mais informações sobre como criar regras de entrada, consulte Como configurar políticas de entrada e saída.

Console

No Google Cloud console do, acesse a página VPC Service Controls.

Acessar o VPC Service Controls
Selecione o projeto.
Clique no nome do perímetro de serviço e em Editar.
Clique em Política de entrada ou Política de saída.
Clique em Adicionar uma regra de entrada.
Na seção De, especifique a identidade do agente de serviço:
1. Em Identidades, selecione Identidades e grupos selecionados.
2. Clique em Adicionar identidades.
3. Insira o endereço de e-mail da conta de serviço do agente. Por exemplo, sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.
Na seção Para, especifique as operações permitidas:
1. Em Recursos, selecione Todos os projetos.
2. Em Operações, selecione Selecionar operações.
3. Clique em Adicionar operações e adicione os seguintes serviços com Todos os métodos selecionados:
  - compute.googleapis.com
  - workloadmanager.googleapis.com
  - secretmanager.googleapis.com
Clique em Concluído e depois em Salvar.

gcloud

Para adicionar a regra de entrada, crie um arquivo YAML que contenha a regra de entrada e use o gcloud access-context-manager perimeters update comando com a --set-ingress-policies flag.

Crie um arquivo YAML de política de entrada chamado ingress_policy.yaml com o seguinte conteúdo:

- ingressFrom:
    identities:
     - serviceAccount:SERVICE_ACCOUNT_EMAIL
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: workloadmanager.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Substitua SERVICE_ACCOUNT_EMAIL pelo endereço de e-mail da conta de serviço anexada à instância do Compute Engine que executa o Agente para cargas de trabalho computacionais.

Adicione a política de entrada ao perímetro:
```
   gcloud access-context-manager perimeters update PERIMETER_NAME \
     --set-ingress-policies=ingress_policy.yaml
```
Substitua PERIMETER_NAME pelo nome do perímetro de serviço. Por exemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

Resolver problemas de violações do VPC Service Controls

Para conferir as violações do VPC Service Controls no projeto e resolver problemas, use a Análise de registros.

Para mais informações, consulte Como resolver problemas do VPC Service Controls.

A seguir

Como criar e executar uma avaliação