Zugriff auf den Sicherungs- und Notfallwiederherstellungsdienst mit IAM steuern

Auf dieser Seite werden die IAM-Rollen und Berechtigungen beschrieben, die für denGoogle Cloud Backup and DR Service erforderlich sind. Wenn Sie Ihrem Projekt neue Principals hinzufügen, können Sie diesem Principal mithilfe einer IAM-Richtlinie (Identity and Access Management) eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die den Hauptkonten Zugriff auf bestimmte Ressourcen gewähren, damit sie bestimmte Aktionen ausführen können. Eine Referenzliste der IAM-Berechtigungen, die für den Backup and DR Service gelten, finden Sie unter IAM-Berechtigungen für den Backup and DR Service.

So steuert IAM den Zugriff

Wenn ein Hauptkonto (ein Nutzer, eine Gruppe oder ein Dienstkonto) eine Google Cloud API aufruft, muss dieses Hauptkonto die entsprechenden IAM-Berechtigungen für die Verwendung der Ressource haben. Um einem Hauptkonto die erforderlichen Berechtigungen zu gewähren, weisen Sie dem Hauptkonto eine IAM-Rolle zu. Weitere Informationen zu Hauptkonten in IAM

Arten von IAM-Rollen

Für den Backup- und DR-Dienst gibt es vordefinierte Rollen, die gebündelte Berechtigungen enthalten, die verschiedenen Prinzipien zugewiesen werden können. Nutzer können auch benutzerdefinierte Rollen definieren, die eine Kombination aus einzelnen Berechtigungen enthalten können, um Zugriff auf einen bestimmten Backup- und DR-Workflow oder eine bestimmte Aktion zu gewähren.

IAM-Berechtigungen

Mit Berechtigungen werden Nutzer autorisiert, bestimmte Aktionen für bestimmte Ressourcen durchzuführen. Sie können zu Rollen zusammengefasst werden. Jede Berechtigung bezieht sich auf eine bestimmte Aktion, die der Nutzer ausführen kann, oder auf einen bestimmten Zugriff, den er hat.

Berechtigungen auf Projektebene oder auf Ressourcenebene

Berechtigungen können auf Projekt- oder Ressourcenebene erteilt werden. Ein Backup and DR-Administrator kann beispielsweise je nach Richtlinie nur bestimmte Berechtigungen auf Speicherebene anstelle des gesamten Projekts gewähren. Das Zuweisen von Rollen auf Ressourcenebene hat keine Auswirkungen auf vorhandene Rollen, die Sie auf Projektebene gewährt haben, und umgekehrt.

Vordefinierte IAM-Rollen für den Backup- und DR-Dienst

Der Backup and DR Service bietet eine Reihe vordefinierter IAM-Rollen, die auf dieser Seite beschrieben werden. Sie können auch benutzerdefinierte Rollen erstellen, die Teilmengen von Berechtigungen enthalten, die sich direkt Ihren Anforderungen zuordnen lassen.

In der folgenden Tabelle werden IAM-Rollen beschrieben, die mit dem Backup and DR Service verknüpft sind, sowie die Berechtigungen aufgeführt, die zu jeder Rolle gehören. Die Beschreibung für jede Berechtigung finden Sie im Abschnitt IAM-Berechtigung für Backup and DR Service.

Role Permissions

(roles/backupdr.admin)

Provides full access to all Backup and DR resources.

backupdr.backupPlanAssociations.*

  • backupdr.backupPlanAssociations.createForAlloydbCluster
  • backupdr.backupPlanAssociations.createForCloudSqlInstance
  • backupdr.backupPlanAssociations.createForComputeDisk
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.createForFilestoreInstance
  • backupdr.backupPlanAssociations.deleteForAlloydbCluster
  • backupdr.backupPlanAssociations.deleteForCloudSqlInstance
  • backupdr.backupPlanAssociations.deleteForComputeDisk
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.deleteForFilestoreInstance
  • backupdr.backupPlanAssociations.fetchForAlloydbCluster
  • backupdr.backupPlanAssociations.fetchForCloudSqlInstance
  • backupdr.backupPlanAssociations.fetchForComputeDisk
  • backupdr.backupPlanAssociations.fetchForComputeInstance
  • backupdr.backupPlanAssociations.fetchForFilestoreInstance
  • backupdr.backupPlanAssociations.getForAlloydbCluster
  • backupdr.backupPlanAssociations.getForCloudSqlInstance
  • backupdr.backupPlanAssociations.getForComputeDisk
  • backupdr.backupPlanAssociations.getForComputeInstance
  • backupdr.backupPlanAssociations.getForFilestoreInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.triggerBackupForAlloydbCluster
  • backupdr.backupPlanAssociations.triggerBackupForCloudSqlInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeDisk
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForFilestoreInstance
  • backupdr.backupPlanAssociations.updateForAlloydbCluster
  • backupdr.backupPlanAssociations.updateForComputeDisk
  • backupdr.backupPlanAssociations.updateForComputeInstance
  • backupdr.backupPlanAssociations.updateForFilestoreInstance

backupdr.backupPlanRevisions.*

  • backupdr.backupPlanRevisions.get
  • backupdr.backupPlanRevisions.list

backupdr.backupPlans.*

  • backupdr.backupPlans.create
  • backupdr.backupPlans.delete
  • backupdr.backupPlans.get
  • backupdr.backupPlans.list
  • backupdr.backupPlans.update
  • backupdr.backupPlans.useForAlloydbCluster
  • backupdr.backupPlans.useForCloudSqlInstance
  • backupdr.backupPlans.useForComputeDisk
  • backupdr.backupPlans.useForComputeInstance
  • backupdr.backupPlans.useForFilestoreInstance

backupdr.backupVaults.*

  • backupdr.backupVaults.associate
  • backupdr.backupVaults.create
  • backupdr.backupVaults.delete
  • backupdr.backupVaults.get
  • backupdr.backupVaults.list
  • backupdr.backupVaults.update

backupdr.bvbackups.*

  • backupdr.bvbackups.delete
  • backupdr.bvbackups.fetchForCloudSqlInstance
  • backupdr.bvbackups.fetchForComputeDisk
  • backupdr.bvbackups.fetchForComputeInstance
  • backupdr.bvbackups.get
  • backupdr.bvbackups.list
  • backupdr.bvbackups.restore
  • backupdr.bvbackups.update
  • backupdr.bvbackups.useReadOnlyForAlloydbCluster
  • backupdr.bvbackups.useReadOnlyForCloudSqlInstance
  • backupdr.bvbackups.useReadOnlyForFilestoreInstance

backupdr.bvdataSources.*

  • backupdr.bvdataSources.abandonBackup
  • backupdr.bvdataSources.fetchAccessToken
  • backupdr.bvdataSources.finalizeBackup
  • backupdr.bvdataSources.get
  • backupdr.bvdataSources.initiateBackup
  • backupdr.bvdataSources.list
  • backupdr.bvdataSources.remove
  • backupdr.bvdataSources.setInternalStatus
  • backupdr.bvdataSources.update
  • backupdr.bvdataSources.useReadOnlyForAlloydbCluster
  • backupdr.bvdataSources.useReadOnlyForCloudSqlInstance

backupdr.compute.restoreFromBackupVault

backupdr.dataSourceReferences.*

  • backupdr.dataSourceReferences.fetchForAlloydbCluster
  • backupdr.dataSourceReferences.fetchForCloudSqlInstance
  • backupdr.dataSourceReferences.fetchForFilestoreInstance
  • backupdr.dataSourceReferences.getForAlloydbCluster
  • backupdr.dataSourceReferences.getForCloudSqlInstance
  • backupdr.dataSourceReferences.getForFilestoreInstance
  • backupdr.dataSourceReferences.list

backupdr.locations.*

  • backupdr.locations.get
  • backupdr.locations.list

backupdr.managementServers.*

  • backupdr.managementServers.access
  • backupdr.managementServers.accessSensitiveData
  • backupdr.managementServers.assignBackupPlans
  • backupdr.managementServers.backupAccess
  • backupdr.managementServers.create
  • backupdr.managementServers.createConnection
  • backupdr.managementServers.createDynamicProtection
  • backupdr.managementServers.delete
  • backupdr.managementServers.deleteDynamicProtection
  • backupdr.managementServers.get
  • backupdr.managementServers.getDynamicProtection
  • backupdr.managementServers.getIamPolicy
  • backupdr.managementServers.list
  • backupdr.managementServers.listDynamicProtection
  • backupdr.managementServers.manageApplications
  • backupdr.managementServers.manageBackupPlans
  • backupdr.managementServers.manageBackupServers
  • backupdr.managementServers.manageBackups
  • backupdr.managementServers.manageClones
  • backupdr.managementServers.manageExpiration
  • backupdr.managementServers.manageHosts
  • backupdr.managementServers.manageInternalACL
  • backupdr.managementServers.manageJobs
  • backupdr.managementServers.manageLiveClones
  • backupdr.managementServers.manageMigrations
  • backupdr.managementServers.manageMirroring
  • backupdr.managementServers.manageMounts
  • backupdr.managementServers.manageRestores
  • backupdr.managementServers.manageSensitiveData
  • backupdr.managementServers.manageStorage
  • backupdr.managementServers.manageSystem
  • backupdr.managementServers.manageWorkflows
  • backupdr.managementServers.refreshWorkflows
  • backupdr.managementServers.runWorkflows
  • backupdr.managementServers.setIamPolicy
  • backupdr.managementServers.testFailOvers
  • backupdr.managementServers.viewBackupPlans
  • backupdr.managementServers.viewBackupServers
  • backupdr.managementServers.viewReports
  • backupdr.managementServers.viewStorage
  • backupdr.managementServers.viewSystem
  • backupdr.managementServers.viewWorkflows

backupdr.operations.*

  • backupdr.operations.cancel
  • backupdr.operations.delete
  • backupdr.operations.get
  • backupdr.operations.list

backupdr.serviceConfig.initialize

backupdr.trial.*

  • backupdr.trial.get
  • backupdr.trial.subscribe

resourcemanager.projects.get

resourcemanager.projects.list

(roles/backupdr.backupConfigViewer)

Provides read access to resource backup config. Resource backup config has the metadata of a Google Cloud resource that can be backed up, along with its backup configurations.

backupdr.locations.list

backupdr.resourceBackupConfigs.*

  • backupdr.resourceBackupConfigs.get
  • backupdr.resourceBackupConfigs.list

(roles/backupdr.backupUser)

Allows the user to apply existing backup plans. This role cannot create backup plans or restore from a backup.

backupdr.backupPlanAssociations.*

  • backupdr.backupPlanAssociations.createForAlloydbCluster
  • backupdr.backupPlanAssociations.createForCloudSqlInstance
  • backupdr.backupPlanAssociations.createForComputeDisk
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.createForFilestoreInstance
  • backupdr.backupPlanAssociations.deleteForAlloydbCluster
  • backupdr.backupPlanAssociations.deleteForCloudSqlInstance
  • backupdr.backupPlanAssociations.deleteForComputeDisk
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.deleteForFilestoreInstance
  • backupdr.backupPlanAssociations.fetchForAlloydbCluster
  • backupdr.backupPlanAssociations.fetchForCloudSqlInstance
  • backupdr.backupPlanAssociations.fetchForComputeDisk
  • backupdr.backupPlanAssociations.fetchForComputeInstance
  • backupdr.backupPlanAssociations.fetchForFilestoreInstance
  • backupdr.backupPlanAssociations.getForAlloydbCluster
  • backupdr.backupPlanAssociations.getForCloudSqlInstance
  • backupdr.backupPlanAssociations.getForComputeDisk
  • backupdr.backupPlanAssociations.getForComputeInstance
  • backupdr.backupPlanAssociations.getForFilestoreInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.triggerBackupForAlloydbCluster
  • backupdr.backupPlanAssociations.triggerBackupForCloudSqlInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeDisk
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForFilestoreInstance
  • backupdr.backupPlanAssociations.updateForAlloydbCluster
  • backupdr.backupPlanAssociations.updateForComputeDisk
  • backupdr.backupPlanAssociations.updateForComputeInstance
  • backupdr.backupPlanAssociations.updateForFilestoreInstance

backupdr.backupPlanRevisions.*

  • backupdr.backupPlanRevisions.get
  • backupdr.backupPlanRevisions.list

backupdr.backupPlans.get

backupdr.backupPlans.list

backupdr.backupPlans.useForAlloydbCluster

backupdr.backupPlans.useForCloudSqlInstance

backupdr.backupPlans.useForComputeDisk

backupdr.backupPlans.useForComputeInstance

backupdr.backupPlans.useForFilestoreInstance

backupdr.backupVaults.get

backupdr.backupVaults.list

backupdr.bvbackups.fetchForCloudSqlInstance

backupdr.bvbackups.fetchForComputeDisk

backupdr.bvbackups.fetchForComputeInstance

backupdr.bvbackups.get

backupdr.bvbackups.list

backupdr.bvdataSources.get

backupdr.bvdataSources.list

backupdr.dataSourceReferences.*

  • backupdr.dataSourceReferences.fetchForAlloydbCluster
  • backupdr.dataSourceReferences.fetchForCloudSqlInstance
  • backupdr.dataSourceReferences.fetchForFilestoreInstance
  • backupdr.dataSourceReferences.getForAlloydbCluster
  • backupdr.dataSourceReferences.getForCloudSqlInstance
  • backupdr.dataSourceReferences.getForFilestoreInstance
  • backupdr.dataSourceReferences.list

backupdr.locations.*

  • backupdr.locations.get
  • backupdr.locations.list

backupdr.managementServers.access

backupdr.managementServers.assignBackupPlans

backupdr.managementServers.createDynamicProtection

backupdr.managementServers.deleteDynamicProtection

backupdr.managementServers.get

backupdr.managementServers.getDynamicProtection

backupdr.managementServers.list

backupdr.managementServers.listDynamicProtection

backupdr.managementServers.manageApplications

backupdr.managementServers.manageBackups

backupdr.managementServers.manageHosts

backupdr.managementServers.viewBackupPlans

backupdr.managementServers.viewReports

backupdr.managementServers.viewStorage

backupdr.managementServers.viewSystem

backupdr.operations.get

backupdr.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/backupdr.backupvaultAccessor)

Allows the Backup Appliance permissions to create and manage backups in a backup vault.

backupdr.backupVaults.get

backupdr.backupVaults.list

backupdr.bvbackups.delete

backupdr.bvbackups.get

backupdr.bvbackups.list

backupdr.bvbackups.update

backupdr.bvdataSources.abandonBackup

backupdr.bvdataSources.fetchAccessToken

backupdr.bvdataSources.finalizeBackup

backupdr.bvdataSources.get

backupdr.bvdataSources.initiateBackup

backupdr.bvdataSources.list

backupdr.bvdataSources.remove

backupdr.bvdataSources.setInternalStatus

backupdr.bvdataSources.update

backupdr.operations.*

  • backupdr.operations.cancel
  • backupdr.operations.delete
  • backupdr.operations.get
  • backupdr.operations.list

(roles/backupdr.backupvaultAdmin)

Allows the Backup Appliance full administrative control of backup vault resources.

backupdr.backupVaults.*

  • backupdr.backupVaults.associate
  • backupdr.backupVaults.create
  • backupdr.backupVaults.delete
  • backupdr.backupVaults.get
  • backupdr.backupVaults.list
  • backupdr.backupVaults.update

backupdr.bvbackups.delete

backupdr.bvbackups.get

backupdr.bvbackups.list

backupdr.bvbackups.restore

backupdr.bvbackups.update

backupdr.bvdataSources.get

backupdr.bvdataSources.list

backupdr.bvdataSources.update

backupdr.compute.restoreFromBackupVault

backupdr.locations.*

  • backupdr.locations.get
  • backupdr.locations.list

backupdr.operations.*

  • backupdr.operations.cancel
  • backupdr.operations.delete
  • backupdr.operations.get
  • backupdr.operations.list

(roles/backupdr.backupvaultLister)

Allows the Backup Appliance permission to list backup vaults in a given project.

backupdr.backupVaults.list

(roles/backupdr.backupvaultViewer)

Allows read-only permissions to access backup vault resources and backups.

backupdr.backupVaults.get

backupdr.backupVaults.list

backupdr.bvbackups.get

backupdr.bvbackups.list

backupdr.bvdataSources.get

backupdr.bvdataSources.list

backupdr.operations.get

backupdr.operations.list

(roles/backupdr.cloudSqlOperator)

Allows a Backup and DR service account to discover and backup Cloud SQL instances.

cloudsql.instances.createBackupDrBackup

cloudsql.instances.get

(roles/backupdr.cloudStorageOperator)

Allows a Backup and DR service account to store and manage data (backups or metadata) in Cloud Storage.

storage.buckets.create

storage.buckets.get

storage.objects.create

storage.objects.delete

storage.objects.get

storage.objects.list

(roles/backupdr.computeEngineOperator)

Allows a Backup and DR service account to discover, back up, and restore Compute Engine VM instances.

backupdr.managementServers.createConnection

compute.addresses.list

compute.addresses.use

compute.addresses.useInternal

compute.diskTypes.*

  • compute.diskTypes.get
  • compute.diskTypes.list

compute.disks.create

compute.disks.createSnapshot

compute.disks.delete

compute.disks.get

compute.disks.setLabels

compute.disks.use

compute.disks.useReadOnly

compute.firewalls.list

compute.globalOperations.get

compute.images.create

compute.images.delete

compute.images.get

compute.images.useReadOnly

compute.instances.attachDisk

compute.instances.create

compute.instances.createTagBinding

compute.instances.delete

compute.instances.detachDisk

compute.instances.get

compute.instances.list

compute.instances.listEffectiveTags

compute.instances.pscInterfaceCreate

compute.instances.setDeletionProtection

compute.instances.setLabels

compute.instances.setMetadata

compute.instances.setServiceAccount

compute.instances.setTags

compute.instances.start

compute.instances.stop

compute.instances.updateDisplayDevice

compute.instances.useReadOnly

compute.machineTypes.*

  • compute.machineTypes.get
  • compute.machineTypes.list

compute.networks.list

compute.nodeGroups.get

compute.nodeGroups.list

compute.nodeTemplates.get

compute.projects.get

compute.regionOperations.get

compute.regions.*

  • compute.regions.get
  • compute.regions.list

compute.resourcePolicies.use

compute.snapshots.create

compute.snapshots.delete

compute.snapshots.get

compute.snapshots.setLabels

compute.snapshots.useReadOnly

compute.subnetworks.list

compute.subnetworks.use

compute.subnetworks.useExternalIp

compute.zoneOperations.get

compute.zones.list

iam.serviceAccounts.actAs

iam.serviceAccounts.get

iam.serviceAccounts.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/backupdr.diskOperator)

Allows a Backup and DR service account to store and manage data (backups or metadata) in Disk.

compute.disks.create

compute.disks.createSnapshot

compute.disks.createTagBinding

compute.disks.get

compute.disks.list

compute.disks.setLabels

compute.disks.useReadOnly

compute.regionOperations.get

compute.resourcePolicies.use

compute.snapshots.setLabels

compute.snapshots.useReadOnly

compute.storagePools.use

compute.zoneOperations.get

(roles/backupdr.filestoreOperator)

Allows a Backup and DR service account to discover and backup Filestore instances.

file.backups.create

file.instances.get

(roles/backupdr.managementServerAccessor)

Grants the Backup and DR management server access role to Backup Appliances.

backupdr.managementServers.createConnection

(roles/backupdr.mountUser)

Allows the user to mount from a backup. This role cannot create a backup plan or restore from a backup.

backupdr.locations.*

  • backupdr.locations.get
  • backupdr.locations.list

backupdr.managementServers.access

backupdr.managementServers.get

backupdr.managementServers.getDynamicProtection

backupdr.managementServers.list

backupdr.managementServers.listDynamicProtection

backupdr.managementServers.manageApplications

backupdr.managementServers.manageClones

backupdr.managementServers.manageHosts

backupdr.managementServers.manageLiveClones

backupdr.managementServers.manageMirroring

backupdr.managementServers.manageMounts

backupdr.managementServers.manageWorkflows

backupdr.managementServers.refreshWorkflows

backupdr.managementServers.runWorkflows

backupdr.managementServers.viewBackupPlans

backupdr.managementServers.viewReports

backupdr.managementServers.viewStorage

backupdr.managementServers.viewSystem

backupdr.managementServers.viewWorkflows

backupdr.operations.get

backupdr.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/backupdr.restoreUser)

Allows the user to restore or mount from a backup. This role cannot create a backup plan.

backupdr.backupVaults.get

backupdr.backupVaults.list

backupdr.bvbackups.fetchForCloudSqlInstance

backupdr.bvbackups.fetchForComputeDisk

backupdr.bvbackups.fetchForComputeInstance

backupdr.bvbackups.get

backupdr.bvbackups.list

backupdr.bvbackups.restore

backupdr.bvbackups.useReadOnlyForAlloydbCluster

backupdr.bvbackups.useReadOnlyForCloudSqlInstance

backupdr.bvbackups.useReadOnlyForFilestoreInstance

backupdr.bvdataSources.get

backupdr.bvdataSources.list

backupdr.bvdataSources.useReadOnlyForAlloydbCluster

backupdr.bvdataSources.useReadOnlyForCloudSqlInstance

backupdr.compute.restoreFromBackupVault

backupdr.dataSourceReferences.*

  • backupdr.dataSourceReferences.fetchForAlloydbCluster
  • backupdr.dataSourceReferences.fetchForCloudSqlInstance
  • backupdr.dataSourceReferences.fetchForFilestoreInstance
  • backupdr.dataSourceReferences.getForAlloydbCluster
  • backupdr.dataSourceReferences.getForCloudSqlInstance
  • backupdr.dataSourceReferences.getForFilestoreInstance
  • backupdr.dataSourceReferences.list

backupdr.locations.*

  • backupdr.locations.get
  • backupdr.locations.list

backupdr.managementServers.access

backupdr.managementServers.get

backupdr.managementServers.getDynamicProtection

backupdr.managementServers.list

backupdr.managementServers.listDynamicProtection

backupdr.managementServers.manageApplications

backupdr.managementServers.manageClones

backupdr.managementServers.manageHosts

backupdr.managementServers.manageLiveClones

backupdr.managementServers.manageMigrations

backupdr.managementServers.manageMirroring

backupdr.managementServers.manageMounts

backupdr.managementServers.manageRestores

backupdr.managementServers.manageWorkflows

backupdr.managementServers.refreshWorkflows

backupdr.managementServers.runWorkflows

backupdr.managementServers.testFailOvers

backupdr.managementServers.viewBackupPlans

backupdr.managementServers.viewReports

backupdr.managementServers.viewStorage

backupdr.managementServers.viewSystem

backupdr.managementServers.viewWorkflows

backupdr.operations.get

backupdr.operations.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/backupdr.serviceAgent)

Grants the Backup and DR Service access to protect Compute Engine instances.

alloydb.operations.get

cloudsql.instances.createBackupDrBackup

cloudsql.instances.get

compute.addresses.list

compute.addresses.use

compute.addresses.useInternal

compute.diskTypes.*

  • compute.diskTypes.get
  • compute.diskTypes.list

compute.disks.create

compute.disks.createSnapshot

compute.disks.delete

compute.disks.get

compute.disks.list

compute.disks.setLabels

compute.disks.use

compute.disks.useReadOnly

compute.firewalls.list

compute.globalOperations.get

compute.images.create

compute.images.delete

compute.images.get

compute.images.useReadOnly

compute.instances.attachDisk

compute.instances.create

compute.instances.delete

compute.instances.detachDisk

compute.instances.get

compute.instances.list

compute.instances.setLabels

compute.instances.setMetadata

compute.instances.setServiceAccount

compute.instances.setTags

compute.instances.start

compute.instances.stop

compute.instances.useReadOnly

compute.machineTypes.*

  • compute.machineTypes.get
  • compute.machineTypes.list

compute.networks.list

compute.nodeGroups.get

compute.nodeGroups.list

compute.nodeTemplates.get

compute.projects.get

compute.regionOperations.get

compute.regions.*

  • compute.regions.get
  • compute.regions.list

compute.snapshots.create

compute.snapshots.delete

compute.snapshots.get

compute.snapshots.setLabels

compute.snapshots.useReadOnly

compute.subnetworks.list

compute.subnetworks.use

compute.subnetworks.useExternalIp

compute.zoneOperations.get

compute.zones.list

file.backups.create

file.instances.get

iam.serviceAccounts.actAs

iam.serviceAccounts.get

iam.serviceAccounts.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/backupdr.user)

Provides access to management console. Granular Backup and DR permissions depend on ACL configuration provided by Backup and DR admin within the management console.

backupdr.backupPlanAssociations.createForComputeInstance

backupdr.backupPlanAssociations.deleteForComputeInstance

backupdr.backupPlanAssociations.updateForComputeInstance

backupdr.managementServers.access

backupdr.managementServers.backupAccess

backupdr.managementServers.get

backupdr.managementServers.getDynamicProtection

backupdr.managementServers.getIamPolicy

backupdr.managementServers.list

backupdr.managementServers.listDynamicProtection

backupdr.managementServers.viewBackupPlans

backupdr.managementServers.viewBackupServers

backupdr.managementServers.viewReports

backupdr.managementServers.viewStorage

backupdr.managementServers.viewSystem

backupdr.managementServers.viewWorkflows

backupdr.operations.get

backupdr.operations.list

backupdr.trial.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/backupdr.userv2)

Provides full access to Backup and DR resources except deploying and managing backup infrastructure, expiring backups, changing data sensitivity and configuring on-premises billing.

backupdr.backupPlanAssociations.*

  • backupdr.backupPlanAssociations.createForAlloydbCluster
  • backupdr.backupPlanAssociations.createForCloudSqlInstance
  • backupdr.backupPlanAssociations.createForComputeDisk
  • backupdr.backupPlanAssociations.createForComputeInstance
  • backupdr.backupPlanAssociations.createForFilestoreInstance
  • backupdr.backupPlanAssociations.deleteForAlloydbCluster
  • backupdr.backupPlanAssociations.deleteForCloudSqlInstance
  • backupdr.backupPlanAssociations.deleteForComputeDisk
  • backupdr.backupPlanAssociations.deleteForComputeInstance
  • backupdr.backupPlanAssociations.deleteForFilestoreInstance
  • backupdr.backupPlanAssociations.fetchForAlloydbCluster
  • backupdr.backupPlanAssociations.fetchForCloudSqlInstance
  • backupdr.backupPlanAssociations.fetchForComputeDisk
  • backupdr.backupPlanAssociations.fetchForComputeInstance
  • backupdr.backupPlanAssociations.fetchForFilestoreInstance
  • backupdr.backupPlanAssociations.getForAlloydbCluster
  • backupdr.backupPlanAssociations.getForCloudSqlInstance
  • backupdr.backupPlanAssociations.getForComputeDisk
  • backupdr.backupPlanAssociations.getForComputeInstance
  • backupdr.backupPlanAssociations.getForFilestoreInstance
  • backupdr.backupPlanAssociations.list
  • backupdr.backupPlanAssociations.triggerBackupForAlloydbCluster
  • backupdr.backupPlanAssociations.triggerBackupForCloudSqlInstance
  • backupdr.backupPlanAssociations.triggerBackupForComputeDisk
  • backupdr.backupPlanAssociations.triggerBackupForComputeInstance
  • backupdr.backupPlanAssociations.triggerBackupForFilestoreInstance
  • backupdr.backupPlanAssociations.updateForAlloydbCluster
  • backupdr.backupPlanAssociations.updateForComputeDisk
  • backupdr.backupPlanAssociations.updateForComputeInstance
  • backupdr.backupPlanAssociations.updateForFilestoreInstance

backupdr.backupPlanRevisions.*

  • backupdr.backupPlanRevisions.get
  • backupdr.backupPlanRevisions.list

backupdr.backupPlans.*

  • backupdr.backupPlans.create
  • backupdr.backupPlans.delete
  • backupdr.backupPlans.get
  • backupdr.backupPlans.list
  • backupdr.backupPlans.update
  • backupdr.backupPlans.useForAlloydbCluster
  • backupdr.backupPlans.useForCloudSqlInstance
  • backupdr.backupPlans.useForComputeDisk
  • backupdr.backupPlans.useForComputeInstance
  • backupdr.backupPlans.useForFilestoreInstance

backupdr.backupVaults.associate

backupdr.backupVaults.get

backupdr.backupVaults.list

backupdr.bvbackups.fetchForCloudSqlInstance

backupdr.bvbackups.fetchForComputeDisk

backupdr.bvbackups.fetchForComputeInstance

backupdr.bvbackups.get

backupdr.bvbackups.list

backupdr.bvbackups.restore

backupdr.bvbackups.useReadOnlyForAlloydbCluster

backupdr.bvbackups.useReadOnlyForCloudSqlInstance

backupdr.bvbackups.useReadOnlyForFilestoreInstance

backupdr.bvdataSources.get

backupdr.bvdataSources.list

backupdr.bvdataSources.useReadOnlyForAlloydbCluster

backupdr.bvdataSources.useReadOnlyForCloudSqlInstance

backupdr.compute.restoreFromBackupVault

backupdr.dataSourceReferences.*

  • backupdr.dataSourceReferences.fetchForAlloydbCluster
  • backupdr.dataSourceReferences.fetchForCloudSqlInstance
  • backupdr.dataSourceReferences.fetchForFilestoreInstance
  • backupdr.dataSourceReferences.getForAlloydbCluster
  • backupdr.dataSourceReferences.getForCloudSqlInstance
  • backupdr.dataSourceReferences.getForFilestoreInstance
  • backupdr.dataSourceReferences.list

backupdr.locations.*

  • backupdr.locations.get
  • backupdr.locations.list

backupdr.managementServers.access

backupdr.managementServers.assignBackupPlans

backupdr.managementServers.backupAccess

backupdr.managementServers.createDynamicProtection

backupdr.managementServers.deleteDynamicProtection

backupdr.managementServers.get

backupdr.managementServers.getDynamicProtection

backupdr.managementServers.getIamPolicy

backupdr.managementServers.list

backupdr.managementServers.listDynamicProtection

backupdr.managementServers.manageApplications

backupdr.managementServers.manageBackupPlans

backupdr.managementServers.manageBackups

backupdr.managementServers.manageClones

backupdr.managementServers.manageHosts

backupdr.managementServers.manageJobs

backupdr.managementServers.manageLiveClones

backupdr.managementServers.manageMigrations

backupdr.managementServers.manageMirroring

backupdr.managementServers.manageMounts

backupdr.managementServers.manageRestores

backupdr.managementServers.manageWorkflows

backupdr.managementServers.refreshWorkflows

backupdr.managementServers.runWorkflows

backupdr.managementServers.testFailOvers

backupdr.managementServers.viewBackupPlans

backupdr.managementServers.viewBackupServers

backupdr.managementServers.viewReports

backupdr.managementServers.viewStorage

backupdr.managementServers.viewSystem

backupdr.managementServers.viewWorkflows

backupdr.operations.get

backupdr.operations.list

backupdr.trial.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/backupdr.viewer)

Provides read-only access to all Backup and DR resources.

backupdr.backupPlanAssociations.fetchForAlloydbCluster

backupdr.backupPlanAssociations.fetchForCloudSqlInstance

backupdr.backupPlanAssociations.fetchForComputeDisk

backupdr.backupPlanAssociations.fetchForComputeInstance

backupdr.backupPlanAssociations.fetchForFilestoreInstance

backupdr.backupPlanAssociations.getForAlloydbCluster

backupdr.backupPlanAssociations.getForCloudSqlInstance

backupdr.backupPlanAssociations.getForComputeDisk

backupdr.backupPlanAssociations.getForComputeInstance

backupdr.backupPlanAssociations.getForFilestoreInstance

backupdr.backupPlanAssociations.list

backupdr.backupPlanRevisions.*

  • backupdr.backupPlanRevisions.get
  • backupdr.backupPlanRevisions.list

backupdr.backupPlans.get

backupdr.backupPlans.list

backupdr.backupVaults.get

backupdr.backupVaults.list

backupdr.bvbackups.fetchForCloudSqlInstance

backupdr.bvbackups.fetchForComputeDisk

backupdr.bvbackups.fetchForComputeInstance

backupdr.bvbackups.get

backupdr.bvbackups.list

backupdr.bvdataSources.get

backupdr.bvdataSources.list

backupdr.dataSourceReferences.*

  • backupdr.dataSourceReferences.fetchForAlloydbCluster
  • backupdr.dataSourceReferences.fetchForCloudSqlInstance
  • backupdr.dataSourceReferences.fetchForFilestoreInstance
  • backupdr.dataSourceReferences.getForAlloydbCluster
  • backupdr.dataSourceReferences.getForCloudSqlInstance
  • backupdr.dataSourceReferences.getForFilestoreInstance
  • backupdr.dataSourceReferences.list

backupdr.locations.*

  • backupdr.locations.get
  • backupdr.locations.list

backupdr.managementServers.access

backupdr.managementServers.backupAccess

backupdr.managementServers.get

backupdr.managementServers.getDynamicProtection

backupdr.managementServers.getIamPolicy

backupdr.managementServers.list

backupdr.managementServers.listDynamicProtection

backupdr.managementServers.viewBackupPlans

backupdr.managementServers.viewBackupServers

backupdr.managementServers.viewReports

backupdr.managementServers.viewStorage

backupdr.managementServers.viewSystem

backupdr.managementServers.viewWorkflows

backupdr.operations.get

backupdr.operations.list

backupdr.trial.get

resourcemanager.projects.get

resourcemanager.projects.list

Einfache Rollen

Einfache Rollen sind Rollen auf Projektebene aus der Zeit vor IAM. Weitere Informationen finden Sie unter Einfache Rollen.

Obwohl Backup and DR die folgenden einfachen Rollen unterstützt, sollten Sie nach Möglichkeit eine der vordefinierten Rollen verwenden. Einfache Rollen umfassen allgemeine Berechtigungen, die für alle Ihre Google Cloud -Ressourcen gelten. Im Gegensatz dazu enthalten die vordefinierten Rollen von Backup and DR fein abgestufte Berechtigungen, die nur für Backup and DR gelten.

Einfache IAM-Rolle Beschreibung
Bearbeiter
(roles/editor)		 Gewährt vollständigen Zugriff auf alle Sicherungs- und Notfallwiederherstellungsressourcen.
Inhaber
(roles/owner)		 Gewährt vollständigen Zugriff auf alle Sicherungs- und Notfallwiederherstellungsressourcen.

IAM-Berechtigungen für den Backup- und DR-Dienst

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die mit dem Backup and DR-Dienst verknüpft sind. IAM-Berechtigungen sind in Rollen gruppiert und Sie weisen Nutzern und Gruppen Rollen zu.

In der folgenden Tabelle finden Sie eine Beschreibung der einzelnen Backup & DR-Berechtigungen.

Name der Berechtigung Beschreibung
backupdr.managementServers.manageClones Berechtigungen zum Erstellen und Verwalten von Klonen aus Sicherungen.
backupdr.managementServers.manageLiveClones Berechtigungen zum Erstellen und Verwalten von LiveClones aus Sicherungen.
backupdr.managementServers.manageMounts Ermöglicht das Erstellen und Verwalten aktiver Bereitstellungen aus Sicherungen.
backupdr.managementServers.manageRestores Gewährt die Berechtigungen, die zum Wiederherstellen aus Sicherungen erforderlich sind.
backupdr.managementServers.manageBackups Gewährt Berechtigungen zum Ausführen von Sicherungsvorgängen: „Jetzt sichern“.
backupdr.managementServers.viewSystem Ermöglicht den Zugriff auf die Konfiguration der Sicherungs-/Wiederherstellungs-Appliance.
backupdr.managementServers.manageSystem Berechtigungen zum Konfigurieren von Sicherungs-/Wiederherstellungs-Appliances und zum Melden von Managern.
backupdr.managementServers.viewStorage Zugriff zum Aufrufen von Speicher- und Festplattenpoolkonfigurationen gewähren
backupdr.managementServers.manageStorage Berechtigungen zum Hinzufügen, Ändern, Entfernen und Anzeigen von Speicher- und Festplattenpools.
backupdr.managementServers.viewBackupPlans Ermöglicht den Zugriff zum Aufrufen von Sicherungsplänen – Sicherungsvorlagen und Ressourcenprofilen.
backupdr.managementServers.assignBackupPlans Bietet Berechtigungen zum Zuweisen vorkonfigurierter Sicherungspläne – Sicherungsvorlagen und Ressourcenprofile – zu Anwendungen oder Arbeitslasten.
backupdr.managementServers.manageBackupPlans Berechtigungen zum Erstellen, Ändern, Löschen, Aufrufen und Zuweisen von Sicherungsplänen – Sicherungsvorlagen und Ressourcenprofilen.
backupdr.managementServers.testFailOvers Berechtigungen zum Ausführen von Test-Failover-Vorgängen und zum Löschen von Test-Failover-Vorgängen für eine StreamSnap-Sicherung auf einem Remote-Server.
backupdr.managementServers.viewWorkflows Gewährt Zugriff zum Aufrufen von Backup- und DR-Workflows, die den Zugriff zum Kopieren von Daten im Backup- und DR-Dienst automatisieren.
backupdr.managementServers.runWorkflows Bietet Berechtigungen zum Ausführen eines vorkonfigurierten Backup and DR-Workflows, der den Zugriff zum Kopieren von Daten im Backup and DR-Dienst automatisiert.
backupdr.managementServers.refreshWorkflows Bietet Berechtigungen zum Aktualisieren eines Klons, der von einem Backup- und DR-Workflow erstellt wurde, der den Zugriff zum Kopieren von Daten im Backup- und DR-Dienst automatisiert.
backupdr.managementServers.manageWorkflows Bietet Berechtigungen zum Hinzufügen, Ändern, Entfernen, Ausführen und Aufrufen von Backup- und DR-Workflows, die den Zugriff auf Kopierdaten im Backup- und DR-Dienst automatisieren.
backupdr.managementServers.manageMirroring Berechtigungen zum Ausführen von Failover-, Syncback-, Bereinigungs-, Failback-, Test-Failover- und Test-Failover-Löschvorgängen für eine StreamSnap-Sicherung auf einem Remote-Server.
backupdr.managementServers.manageHosts Berechtigungen zum Hinzufügen, Ändern, Entfernen und Anzeigen von Hosts – physischen und virtuellen Maschinen
backupdr.managementServers.manageApplications Bietet Berechtigungen zum Verwalten aller Aspekte von Anwendungen, einschließlich logischer Gruppen und Konsistenzgruppen, zum Ausführen von On-Demand-Sicherungen und zum Exportieren von Vorlagen.
backupdr.managementServers.manageSensitiveData Ermöglicht das Markieren von Anwendungen und Sicherungen als vertrauliche oder nicht vertrauliche Daten.
backupdr.managementServers.accessSensitiveData Ermöglicht den Zugriff auf als vertraulich gekennzeichnete Anwendungen und Back-ups.
backupdr.managementServers.manageBackupServers Gewährt die Berechtigungen, die zum Ausführen von Backup Server APIs über die Verwaltungskonsole erforderlich sind.
backupdr.managementServers.manageExpiration Gewährt die erforderlichen Berechtigungen zum Ablauf von Sicherungen.
backupdr.managementServers.access Ermöglicht Zugriff auf die Verwaltungskonsole und zugehörige APIs.
backupdr.managementServers.onpremUsageUpload Bietet Zugriff auf alle Endpunkte, die zum Hochladen der Nutzung auf einen lokalen Adapter erforderlich sind.
backupdr.managementServers.viewReports Bietet Zugriff auf den Report Manager, um Berichte zu erstellen und die Ausgabe anzusehen oder herunterzuladen.
backupdr.managementServers.manageJobs Berechtigungen zum Abbrechen von Jobs und Ändern der Jobpriorität.
backupdr.managementServers.manageMigrations Berechtigungen zum Verwalten der Migration von bereitgestellten Daten als letzten Schritt eines Wiederherstellungs- oder Klonvorgangs.

Berechtigungen, die für die Verwendung von CMEK erforderlich sind

Informationen zu den Berechtigungen, die für die Verwendung von CMEK erforderlich sind, finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).