Rôles IAM dans les projets consommateur et cible pour les évaluations

Lorsque vous évaluez des charges de travail à l'aide de Workload Manager, vous inspectez les ressources d'infrastructure qui peuvent s'étendre sur plusieurs Google Cloud projets. Comprendre comment les rôles IAM sont répartis entre votre projet d'évaluation central et les projets hébergeant vos charges de travail vous permet d'accorder les autorisations minimales requises pour exécuter des évaluations de manière sécurisée.

Ce document explique les projets clients et cibles, et répertorie les rôles et les autorisations dont vous avez besoin pour créer et exécuter des évaluations Workload Manager.

Projets clients et cibles

Les évaluations du Workload Manager analysent les ressources de plusieurs projets appelés projets cibles, mais l'évaluation n'est stockée que dans un seul projet appelé projet client.

Vous utilisez le projet client pour accéder à Workload Manager dans la Google Cloud console, et pour créer et exécuter des évaluations. Lorsque vous créez une évaluation à l'aide de la Google Cloud console, dans la section Étendue de l'évaluation du workflow, vous spécifiez les projets cibles qui contiennent les ressources que vous souhaitez évaluer.

Si les ressources à évaluer sont présentes dans le même projet que celui dans lequel vous créez une évaluation Workload Manager, le projet client est également considéré comme l'un de vos projets cibles.

Résumé des autorisations requises pour créer et exécuter une évaluation

Le tableau suivant récapitule les autorisations requises pour que les utilisateurs des projets clients et cibles puissent créer et exécuter des évaluations à l'aide de Workload Manager. Pour obtenir l'autorisation dont vous avez besoin, demandez à votre administrateur de vous attribuer un rôle qui inclut l'autorisation requise ou créez un rôle personnalisé.

Action Projet client Projet cible
Activer l'API Workload Manager Autorisation :
serviceusage.services.enable

Rôle prédéfini qui inclut l'autorisation :
roles/serviceusage.serviceUsageAdmin
Aucun
Créer une évaluation Autorisation de créer un compte de service :
resourcemanager.projects.setIamPolicy

Rôle prédéfini qui inclut l'autorisation :
roles/resourcemanager.projectIamAdmin

Requis uniquement lorsque vous créez la première évaluation.

Rôle prédéfini qui accorde l'autorisation de créer une évaluation :
roles/workloadmanager.evaluationAdmin

Rôle prédéfini qui accorde l'autorisation de créer des notifications d'alerte :
roles/monitoring.metricWriter

Pour créer une évaluation à l'aide de règles personnalisées, vous avez besoin des autorisations supplémentaires suivantes :

Rôle prédéfini qui accorde l'autorisation de lire les données d'inventaire des éléments cloud :
roles/cloudasset.owner

Rôle prédéfini qui accorde l'autorisation de lire les règles stockées dans un bucket Cloud Storage :
roles/storage.objectViewer

Rôle prédéfini qui accorde l'autorisation d'écrire les résultats de l'évaluation dans un ensemble de données BigQuery :
roles/bigquery.admin

Autorisation de créer un compte de service :
resourcemanager.projects.setIamPolicy

Rôle prédéfini qui inclut l'autorisation :
roles/resourcemanager.projectIamAdmin

Requis uniquement lorsque vous créez la première évaluation.

Exécuter une évaluation Autorisation :
workloadmanager.evaluations.run

Rôle prédéfini qui inclut l'autorisation :
roles/workloadmanager.evaluationAdmin

Aucun

Afficher les résultats de l'évaluation Autorisation :
workloadmanager.results.list

Rôle prédéfini qui inclut l'autorisation :
roles/workloadmanager.evaluationAdmin
ou
roles/workloadmanager.evaluationViewer
Aucun

Agents de service pour les évaluations

Workload Manager utilise des agents de service (roles/workloadmanager.serviceAgent et roles/workloadmanager.worker) pour analyser les ressources des projets cibles et exécuter les évaluations à partir des projets clients.

Pour découvrir comment Workload Manager crée automatiquement des agents de service ou comment les créer manuellement à l'aide de l'API Workload Manager, consultez la section Agents de service Workload Manager.

Rôles et autorisations supplémentaires

Pour obtenir la référence complète de tous les rôles et autorisations Workload Manager dans toutes les API, consultez la section Rôles et autorisations IAM Workload Manager.

Pour obtenir une présentation des stratégies d'autorisation IAM et de l'accès conditionnel dans Workload Manager, consultez la section Contrôle des accès avec IAM.

Étape suivante