In diesem Dokument werden die Rollen und Berechtigungen aufgeführt, die Sie für verschiedene Projekte benötigen, um die Workload Manager-Bewertung zu verwenden und automatisch Workload Manager-Dienstkonten zum Ausführen der Bewertung zu erstellen.
Workload Manager-Projekte
Bei Workload Manager-Bewertungen werden Ressourcen in mehreren Projekten gescannt, die als Zielprojekte bezeichnet werden. Die Bewertung wird jedoch nur in einem Projekt gespeichert, das als Nutzerprojekt bezeichnet wird.
Mit dem Consumer-Projekt können Sie in derGoogle Cloud -Konsole auf Workload Manager zugreifen sowie Bewertungen erstellen und ausführen. Wenn Sie eine Evaluierung über die Google Cloud -Konsole erstellen, geben Sie im Abschnitt Evaluierungsbereich des Workflows die Zielprojekte an, die die Ressourcen enthalten, die Sie bewerten möchten.
Wenn sich die zu bewertenden Ressourcen im selben Projekt befinden, in dem Sie eine Workload Manager-Bewertung erstellen, wird das Nutzerprojekt auch als eines Ihrer Zielprojekte betrachtet.
Zusammenfassung der erforderlichen Berechtigungen zum Erstellen und Ausführen einer Bewertung
In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die für Nutzer in den Quell- und Zielprojekten erforderlich sind, um mit Workload Manager Bewertungen zu erstellen und auszuführen. Bitten Sie Ihren Administrator, Ihnen eine Rolle zuzuweisen, die die erforderliche Berechtigung enthält, oder eine benutzerdefinierte Rolle zu erstellen.
| Aktion | Nutzerprojekt | Zielprojekt |
|---|---|---|
| Workload Manager API aktivieren |
Berechtigung: serviceusage.services.enableVordefinierte Rolle mit der Berechtigung: roles/serviceusage.serviceUsageAdmin
|
Keine |
| Bewertung erstellen |
Berechtigung zum Erstellen eines Dienstkontos: resourcemanager.projects.setIamPolicyVordefinierte Rolle mit der Berechtigung: roles/resourcemanager.projectIamAdmin
Nur erforderlich, wenn Sie die erste Bewertung erstellen.
Vordefinierte Rolle, die die Berechtigung zum Erstellen einer Auswertung gewährt:
Vordefinierte Rolle, die die Berechtigung zum Erstellen von Benachrichtigungen gewährt: Zum Erstellen einer Auswertung mit benutzerdefinierten Regeln benötigen Sie die folgenden zusätzlichen Berechtigungen: Vordefinierte Rolle, die die Berechtigung zum Lesen von Cloud Asset Inventory-Daten gewährt: Vordefinierte Rolle, die die Berechtigung zum Lesen von Regeln gewährt, die in einem Cloud Storage-Bucket gespeichert sind: Vordefinierte Rolle, die die Berechtigung zum Schreiben von Bewertungsergebnissen in ein BigQuery-Dataset gewährt: |
Berechtigung zum Erstellen eines Dienstkontos: resourcemanager.projects.setIamPolicyVordefinierte Rolle mit der Berechtigung: roles/resourcemanager.projectIamAdmin
Nur erforderlich, wenn Sie die erste Bewertung erstellen. |
| Bewertung ausführen |
Berechtigung: workloadmanager.evaluations.runVordefinierte Rolle mit der Berechtigung: roles/workloadmanager.evaluationAdmin
|
Keine |
| Bewertungsergebnisse ansehen |
Berechtigung: workloadmanager.results.listVordefinierte Rolle mit der Berechtigung: roles/workloadmanager.evaluationAdminoder roles/workloadmanager.evaluationViewer
|
Keine |
Dienst-Agents des Arbeitslastmanagers
Workload Manager verwendet Dienst-Agents, um den Zugriff und die Kommunikation zwischen Ressourcen und den zugehörigen Projekten zu steuern.
Sie können Google Cloud console oder die Workload Manager API verwenden, um Arbeitslasten zu bewerten. Wenn Sie Google Cloud consoleverwenden, erstellt Workload Manager alle erforderlichen Dienst-Agents automatisch. Wenn Sie die Workload Manager API verwenden, müssen Sie die Dienst-Agents manuell erstellen.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Project IAM Admin (roles/resourcemanager.projectIamAdmin) für jedes Zielprojekt im Geltungsbereich zuzuweisen, um die Berechtigung zum Erstellen eines Dienst-Agents zu erhalten.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung resourcemanager.projects.setIamPolicy, die zum Erstellen eines Dienst-Agents erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Rollen für Dienst-Agents erstellen und zuweisen
Google Cloud Console
Wenn Sie Google Cloud console zum Bewerten von Arbeitslasten verwenden, erstellt Workload Manager automatisch Dienst-Agents in den Consumer-Projekten.
Die E-Mail-Adresse für diesen Dienst-Agent lautet service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com und er wird als Workload Manager-Dienstkonto bezeichnet.
Workload Manager-Dienst-Agents benötigen die folgenden Rollen, um Auswertungen auszuführen. Weisen Sie den Dienst-Agents diese Rollen zu, wenn Sie dazu aufgefordert werden.
- Dienst-Agent des Arbeitslastmanagers (
roles/workloadmanager.serviceAgent): erforderlich in den Zielprojekten. - Workload Manager Worker (
roles/workloadmanager.worker): Nur im Consumer-Projekt erforderlich, wenn Sie eine Häufigkeit für die Bewertung festlegen.
Workload Manager API
Wenn Sie die Workload Manager API zum Bewerten von Arbeitslasten verwenden, müssen Sie das Workload Manager-Dienstkonto manuell in den Consumer-Projekten erstellen, bevor Sie eine Bewertung erstellen.
Verwenden Sie den gcloud beta services identity create-Befehl, um einen Dienst-Agent zu erstellen:
gcloud beta services identity create --service=workloadmanager.googleapis.com \
--project=PROJECT_NUMBER
Ersetzen Sie PROJECT_NUMBER durch die numerische ID des Nutzerprojekts, in dem Sie den Dienst-Agent erstellen möchten.
Nachdem Sie den Dienst-Agent erstellt haben, müssen Sie ihm die folgenden Rollen zuweisen:
- Dienst-Agent des Arbeitslastmanagers (
roles/workloadmanager.serviceAgent): erforderlich in den Zielprojekten. - Workload Manager Worker (
roles/workloadmanager.worker): Nur im Consumer-Projekt erforderlich, wenn Sie eine Häufigkeit für die Bewertung festlegen.
Weitere Informationen finden Sie unter Dienst-Agent eine Rolle zuweisen.
Zusätzliche Arbeitslastmanager-Rollen
Nutzer benötigen zusätzliche Workload Manager-Rollen, um den Zugriff auf Workload Manager-Bewertungen und -Ressourcen zu steuern.
Weitere Informationen finden Sie unter Workload Manager: Zugriffssteuerung mit IAM.