In diesem Dokument werden die Rollen und Berechtigungen aufgeführt, die Sie in verschiedenen Projekten benötigen, um die Workload Manager-Bewertung zu verwenden und automatisch Workload Manager-Dienstkonten zum Ausführen der Bewertung zu erstellen.
Workload Manager-Projekte
Bei Workload Manager-Bewertungen werden Ressourcen in mehreren Projekten gescannt, die als Zielprojekte bezeichnet werden. Die Bewertung wird jedoch nur in einem Projekt gespeichert, das als Nutzerprojekt bezeichnet wird.
Sie verwenden das Consumer-Projekt, um in derGoogle Cloud Console auf Workload Manager zuzugreifen und Bewertungen zu erstellen und auszuführen. Wenn Sie eine Bewertung über die Google Cloud -Konsole erstellen, geben Sie im Workflow unter Bewertungsbereich die Zielprojekte an, die die zu bewertenden Ressourcen enthalten.
Wenn sich die zu bewertenden Ressourcen im selben Projekt befinden, in dem Sie eine Workload Manager-Bewertung erstellen, gilt das Verbraucherprojekt auch als eines Ihrer Zielprojekte.
Zusammenfassung der erforderlichen Berechtigungen zum Erstellen und Ausführen einer Bewertung
In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die für Nutzer in den Quell- und Zielprojekten erforderlich sind, um mit Workload Manager Auswertungen zu erstellen und auszuführen. Bitten Sie Ihren Administrator, Ihnen eine Rolle zuzuweisen, die die erforderliche Berechtigung enthält, oder eine benutzerdefinierte Rolle zu erstellen.
| Aktion | Nutzerprojekt | Zielprojekt |
|---|---|---|
| Workload Manager API aktivieren |
Berechtigung: serviceusage.services.enableVordefinierte Rolle mit der Berechtigung: roles/serviceusage.serviceUsageAdmin
|
Keine |
| Bewertung erstellen |
Berechtigung zum Erstellen eines Dienstkontos: resourcemanager.projects.setIamPolicyVordefinierte Rolle mit der Berechtigung: roles/resourcemanager.projectIamAdmin
Nur erforderlich, wenn Sie die erste Bewertung erstellen.
Vordefinierte Rolle mit der Berechtigung zum Erstellen einer Auswertung:
Vordefinierte Rolle, die die Berechtigung zum Erstellen von Benachrichtigungen gewährt: Zum Erstellen einer Auswertung mit benutzerdefinierten Regeln benötigen Sie die folgenden zusätzlichen Berechtigungen: Vordefinierte Rolle, die die Berechtigung zum Lesen von Cloud Asset Inventory-Daten gewährt: Vordefinierte Rolle, die die Berechtigung zum Lesen von Regeln gewährt, die in einem Cloud Storage-Bucket gespeichert sind: Vordefinierte Rolle, die die Berechtigung zum Schreiben von Evaluierungsergebnissen in ein BigQuery-Dataset gewährt: |
Berechtigung zum Erstellen eines Dienstkontos: resourcemanager.projects.setIamPolicyVordefinierte Rolle mit der Berechtigung: roles/resourcemanager.projectIamAdmin
Nur erforderlich, wenn Sie die erste Bewertung erstellen. |
| Bewertung vornehmen |
Berechtigung: workloadmanager.evaluations.runVordefinierte Rolle mit der Berechtigung: roles/workloadmanager.evaluationAdmin
|
Keine |
| Bewertungsergebnisse ansehen |
Berechtigung: workloadmanager.results.listVordefinierte Rolle mit der Berechtigung: roles/workloadmanager.evaluationAdminoder roles/workloadmanager.evaluationViewer
|
Keine |
Dienst-Agents des Arbeitslastmanagers
Workload Manager verwendet Dienst-Agents, um den Zugriff und die Kommunikation zwischen Ressourcen und den zugehörigen Projekten zu steuern.
Sie können Arbeitslasten mit Google Cloud console oder der Workload Manager API bewerten. Wenn Sie Google Cloud consoleverwenden, erstellt Workload Manager alle erforderlichen Dienst-Agents automatisch. Wenn Sie die Workload Manager API verwenden, müssen Sie die Dienst-Agents manuell erstellen.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) für jedes betroffene Zielprojekt zuzuweisen, um die Berechtigung zu erhalten, die Sie zum Erstellen eines Dienst-Agents benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung resourcemanager.projects.setIamPolicy, die zum Erstellen eines Dienst-Agents erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Rollen für Dienst-Agents erstellen und zuweisen
Google Cloud Console
Wenn Sie Google Cloud console zum Bewerten von Arbeitslasten verwenden, erstellt Workload Manager automatisch Dienst-Agents in den Consumer-Projekten.
Die E-Mail-Adresse für diesen Dienst-Agent lautet service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com und er wird als Dienstkonto des Arbeitslastmanagers bezeichnet.
Workload Manager-Dienst-Agents benötigen die folgenden Rollen, um Auswertungen auszuführen. Weisen Sie den Dienst-Agents die erforderlichen Rollen zu, wenn Sie dazu aufgefordert werden.
- Dienst-Agent des Arbeitslastmanagers (
roles/workloadmanager.serviceAgent): erforderlich in den Zielprojekten. - Workload Manager Worker (
roles/workloadmanager.worker): Nur im Consumer-Projekt erforderlich, wenn Sie eine Häufigkeit für die Bewertung festlegen.
Workload Manager API
Wenn Sie die Workload Manager API zum Bewerten von Arbeitslasten verwenden, müssen Sie den Workload Manager-Dienst-Agent manuell in den Consumer-Projekten erstellen, bevor Sie eine Bewertung erstellen.
Verwenden Sie den gcloud beta services identity create-Befehl, um einen Dienst-Agent zu erstellen:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Ersetzen Sie PROJECT_NUMBER durch die numerische ID des Nutzerprojekts, in dem Sie den Dienst-Agent erstellen möchten.
Nachdem Sie den Dienst-Agent erstellt haben, müssen Sie ihm die folgenden Rollen zuweisen:
- Dienst-Agent des Arbeitslastmanagers (
roles/workloadmanager.serviceAgent): erforderlich in den Zielprojekten. - Workload Manager Worker (
roles/workloadmanager.worker): Nur im Consumer-Projekt erforderlich, wenn Sie eine Häufigkeit für die Bewertung festlegen.
Weitere Informationen finden Sie unter Dienst-Agent eine Rolle zuweisen.
Zusätzliche Arbeitslastmanager-Rollen
Nutzer benötigen zusätzliche Workload Manager-Rollen, um den Zugriff auf Workload Manager-Bewertungen und -Ressourcen zu steuern.
Weitere Informationen finden Sie unter Workload Manager: Zugriffssteuerung mit IAM.